Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Ransomware : Les entreprises menacées

Le 14 mai dernier, une filiale du groupe Bolloré basée au Congo a été victime d’une cyberattaque au rançongiciel.

Il a été question du ransomware dénommé du groupe. Les cybercriminels à l’origine de cette attaque informatique ont menacé le groupe de divulguer des informations qu’ils auraient dérobé lors de la cyberattaque si ce dernier ne répondait pas favorablement à leur demande. Emmanuel Gras, co-fondateur et CEO d’Alsid, par ailleurs ancien auditeur à l’Agence nationale de la sécurité des systèmes d’information a notifié que ce genre de cyberattaques n’était pas isolées. Cependant, ce dernier observe que : « la cible s’est déplacée dans le secteur de la logistique. Avant Bolloré, le spécialiste australien du secteur, Toll Group, avait subi les affres de Netwalker, appelé aussi Mailto », explique le PDG d’Alsid.

Cet article va aussi vous intéresser : Le groupe Bolloré attaqué par un ransomware

C’est d’ailleurs pour cette raison, que ce spécialiste a mi en avant la sécurité des structures à la fois privé et public, comme un enjeu majeur des 5 prochains années à venir. Il précise que son rôle actuel au sein de son entreprise consiste à « faire un état des lieux dans les entreprises après une attaque et de faire en sorte que les cyber-malfaiteurs ne puissent plus revenir ».

La création de la société spécialisée Alsid répond à l’idée de répondre à un besoin de sécurité qui s’étend de plus en plus. « Nous étions arrivés à la conclusion qu’un schéma se répétait dans toutes les entreprises du monde : les serveurs, les postes et les mobiles sont gérés par un système central, Active Directory, et celui-ci est très attractif pour les cyber- assaillants car, dès lors qu’ils en prennent possession, ils peuvent attaquer toute l’entreprise. Nous avons donc décidé de fonder Alsid pour adresser cette problématique majeure ». C’est d’ailleurs ce genre de plan, qui a été suivi par les pirates informatiques à l’origine du logiciel de rançonnage Netwalker. Cependant, l’expert a remarqué une nette évolution des motivations sur le long terme. « Au départ, les motivations étaient stratégiques. L’on relevait des vols de données dans le cadre de l’espionnage public, entre Etats, industriels, ou autres. De plus en plus, les motivations deviennent financières », indique Emmanuel Gras.  N’oublions pas que les mêmes procédés ont été employés contre un cabinet d’avocat américain du nom de GSMlaw, réputé pour avoir dans sa clientèle de grands nom tel que Donald Trump, Madonna, ou Lady Gaga. De ce côté, les cybercriminels avaient exigé le versement d’une somme de 42 millions de dollars en guise de rançon pour ne pas divulguer les informations confidentielles des clients du cabinet.

Pour la jeune entreprise Alsid, la protection des réseaux des entreprises doit commencer par active Directory. Car en cas d’attaques informatiques, les cybercriminels chercheront en premier lieu à avoir accès et à contrôler le cœur du système c’est-à-dire Active Directory. « Active Directory, rappelle-t-il, est une infrastructure hautement critique qui permet paradoxalement à un cyber-assaillant d’infiltrer l’intégralité d’un réseau très simplement, depuis un seul poste compromis. Véritable trousseau d’accès central, « AD » ère les droits des utilisateurs, les comptes e-mails, l’information liée aux activités ou encore les données financières. Il constitue, dans la majorité des cas, la pierre angulaire de la sécurité en entreprise ». Explique Emmanuel Gras. Il ajoute par ailleurs que le défaut majeur de ce système (Active Directory) n’est nul autre que sa complexité, car, « Plutôt qu’établir une distinction claire entre les administrateurs qui peuvent tout faire et les autres, il attribue plus ou moins des droits parmi des dizaines possibles à chaque utilisateur. Au point que la liste des personnes avec leurs attributions est illisible et que, sans une plateforme comme celle d’Alsid qui monitore les faiblesses de l’AD, il devient impossible pour les équipes de sécurité d’identifier des comportements suspects sur le réseau. ».

L’expert partage une situation vécue dans ce contexte où il a eu l’occasion d’observer de plus près le problème : « Lors d’un audit, nous avons par exemple vu un groupe AD appelé DNSadmin qui attribuait des droits d’accès aux profils en charge du réseau. Parmi eux, la plupart n’étaient pas administrateurs et paraissaient donc inoffensifs. Pourtant, leur groupe leur accordait la possibilité de s’ajouter à d’autres groupes grâce auxquels ils pouvaient cette fois-ci obtenir des droits d’administration sur certains systèmes ». Selon Emmanuel Gras, établir un monitoring de l’activité de utilisateurs c’était pas n’était processus déjà établi. Ce qui signifie, qu’il suffisait qu’un seul fait prendre par une attaque à l’hameçonnage pour que les cybermalveillants puissent accéder à des informations très importantes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Rappelons à toutes fins utiles que durant le mois d’avril dernier, l’entreprise portugaise oeuvrant dans le secteur de l’énergie, EDP, a été frappée par un programme de rançonnage.

La conséquence directe de cette cyberattaque a été le vol de plus de 10 To d’informations sensibles. Le logiciel malveillant utilisé pour accomplir cette tâche est dénommée « Ragnar Locker ». Ce programme de rançonnage possède une fonctionnalité bien particulière. Son utilisateur peut le déployer en le camouflant sous la forme d’une machine virtuelle.

Cet article va aussi vous intéresser : Rançongiciel : Snake, le nouvel ennemi des usines

Sophos, une entreprise spécialisée dans la cybersécurité a identifié 8 étapes d’analyses des premières causes permettant de relier une opération de cybermalveillance au programme Ragnar Locker. Le fournisseur de solutions de sécurité, décris comment ce programme des rançonnages arrive à se camoufler et passer inaperçu. Dans un billet de blog, Sophos nous signifie que : « Lors d’une attaque récemment détectée, le ransomware Ragnar Locker a été déployé dans une machine virtuelle Oracle VirtualBox Windows XP. La charge utile de l’attaque était un programme d’installation de 122 Mo avec une image virtuelle de 282 Mo à l’intérieur, le tout pour cacher un exécutable de ransomware de 49 Ko ». Cela fonctionne bel et bien vu que Energias de Portugal, le géant de l’énergie portugais a été victime de ce logiciel malveillant.  Les cybercriminels avaient alors exigé le paiement d’une rançon s’élevant à 11 millions de dollars, soit 1 580 bitcoins.

Avant cette attaque informatique d’ampleur non négligeable, les pirates informatiques qui utilisent Ragnar Locker, avait pour habitude d’utiliser de connexion passant par le Windows RDP. De la sorte, ils pouvaient compromettre la sécurité du réseau et s’introduire dans le système pour récolter des informations. Pour réussir une intrusion, ces derniers s’octroyaient des privilèges d’administrateurs, avec l’utilisation de certaines en commande et outils tels que GPO et Powershell :  « Dans l’attaque détectée, les acteurs de Ragnar Locker ont utilisé une tâche GPO pour exécuter Microsoft Installer (msiexec.exe), en passant des paramètres pour télécharger et installer silencieusement un package MSI de 122 Mo conçu et non signé à partir d’un serveur Web distant », indique la firme de sécurité informatique.

De façon plus détaillé, il faut noter que « le package malveillant est ainsi articulé autour d’une installation fonctionnelle d’un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant du 5 août 2009) couplé à un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar locker. » explique Dominique Filippone, journaliste. Une fois le packaging recopié dans le répertoire « VirtualAppliances des fichiers programmes x86, ce programme malveillant déploie un exécutable (va.exe), un fichier batch (install.bat) et quelques fichiers support. » Ajoute-il. De son côté le fournisseur de solutions Sophos note ceci : « Le programme d’installation MSI exécute va.exe, qui à son tour exécute le script de commandes install.bat. La première tâche du script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys: ».

Quand le logiciel est définitivement installé dans le système ou le réseau informatique ciblé, la stratégie utilisée par les cybercriminels va consister à désactiver de manière progressive certaines fonctionnalités de notification tel que Windows AutoPlay. Ensuite, procéder à une commande qui va effacer l’ensemble des contenus cachés du terminal ciblé de sorte à empêcher toute tentative de restauration des documents qui ne sont pas chiffré. En outre, le programme servira à recenser les disques durs implantés dans le système ou dans le terminal, tout temps mappant les lecteurs réseaux sur les terminaux physiques de sorte à les configurer, et faciliter leur accès depuis la machine virtuelle. « La machine virtuelle est configurée avec 256 Mo de RAM, 1 CPU, un seul fichier HDD de 299 Mo micro.vdi et une carte réseau Intel PRO / 1000 connectée au NAT », précisait Sophos. À partir de là, les cybercriminels peuvent procéder au chiffrement des fichiers, donc à la prise d’otages du système. « Étant donné que l’application de rançongiciel vrun.exe s’exécute à l’intérieur de la machine invitée virtuelle, son processus et ses comportements peuvent s’exécuter sans entrave, car ils sont hors de portée des logiciels de sécurité sur la machine hôte physique. Les données sur les disques et lecteurs accessibles sur la machine physique sont attaquées par le processus légitime VboxHeadless.exe, le logiciel de virtualisation VirtualBox », explique la société de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les systèmes informatiques isolées ciblés par le malware Ramsay

Selon les spécialistes de la société de cybersécurité américaine Eset, le programme malveillant Ramsay serait aujourd’hui très actif dans le monde.

Une étude menée par ces chercheurs ont prouvé que plusieurs instances de ce malware s’en prennent aux systèmes d’information qui sont déconnectés des réseaux classiques, en clair des systèmes informatiques isolés.

Cet article va aussi vous intéresser : Un programme malveillant inamovible sur un modèle de smartphone subventionné par l’État Américain

Apparemment, des composants de ce programme malveillant auraient permis d’implanter des scanners de réseau sur des machines afin de découvrir les sous-réseaux auxquels elles étaient connectées dans le but de les compromettre, en particulier ceux qui étaient vulnérables à la faille Eternalblue. « …certains composants de Ramsay ont implémenté un scanner de réseau destiné à la découverte de machines non connectés à Internet (Air Gap) mais connues dans le sous-réseau de l’hôte compromis qui sont sensibles à la vulnérabilité EternalBlue SMBv1. Ces informations seront contenues dans toutes les informations enregistrées que Ramsay recueille et peuvent être exploitées par les opérateurs afin d’effectuer ultérieurement des mouvements latéraux sur le réseau via un canal différent » expliquent les chercheurs de la firme de sécurité.

Ce rapport des chercheurs de ESET, met en évidence en quelque chose qui est beaucoup méconnue : le fait que même les système informatique d’entreprises déconnectés du réseau sont aussi ciblés par les cybercriminels, au même titre que ce qui fonctionnent habituellement sur les réseaux publics. L’outil utilisé dans le contexte présent est le programme Ramsay. Sa fonctionnalité particulière lui permet d’analyser, d’infiltrer le réseau isolé, identifier et collecter toutes les données contenues hébergées dans le système. ESET, dans un billet de blog a notifié qu’il existe plusieurs variantes de ce programme en circulation : « Nous avons initialement trouvé une instance de Ramsay dans VirusTotal. Cet échantillon a été téléchargé du Japon et nous a conduits à la découverte d’autres composants et versions du framework, ainsi que des preuves substantielles pour conclure que ce framework est à un stade de développement, avec ses vecteurs de livraison toujours en cours de réglage fin ».

En outre, les chercheurs de ESET n’ont pas réussi à encore identifier les véritables cibles de Ramsay et ses variantes. Cependant, quelques victimes auraient été identifiées par la firme de cybersécurité. Sur ce point, elle préfère ne révéler aucun nom. Pour rassurer, ESET a signifié avoir mis à jour les vecteurs d’attaques utilisés par Ramsay et ses variantes. Parmis lesquels, la faille de sécurité CVE-2017-0199 qui permettait aux pirates informatiques d’injecter un programme de type Visual Basic malveillant dans un dossier ce qui permettait de camoufler Ramsay dans une image en format JPG. La seconde faille, permet d’usurper les privilèges d’un installeur de type 7zip. Et la troisième faille serait la vulnérabilité CVE-2017-11882. Selon les explications des chercheurs d’Eset, les variantes de Ramsay auraient pu être calées a des périodes précises tels que :

– le 24 septembre 2019, sans rootkit

– 8 mars 2020, avec rootkit et spreader

– 27 mars 2020, avec rootkit et sans spreader

« L’analyse des différents horodatages de compilation trouvés sur différents composants implique que ce framework est en cours de développement depuis fin 2019, avec la possibilité d’avoir actuellement deux versions maintenues sur mesure en fonction de la configuration de différentes cibles », précise la firme de cybersécurité.

À propos des mécanismes d’attaques basés sur Ramsay et leur nature, ESET indique : « L’architecture de Ramsay fournit une série de capacités de surveillance via un mécanisme de journalisation destiné à aider les opérateurs en fournissant un flux d’informations exploitables pour mener des actions d’exfiltration, de contrôle et de mouvement latéral, ainsi qu’en fournissant des statistiques comportementales et système globales de chaque système compromis ».

La société de sécurité explique que le programme Ramsay, au vu de ses composantes, aurait subi plusieurs modifications au fil des années. En étudiant les différents vecteurs d’attaque, la spécialiste en met en évidence le fait que les cybercriminels sont dans une approche plurielle, permettant d’essayer plusieurs éventualités tout en restant prudent. « Sur la base des différentes instances du cadre trouvées, Ramsay a traversé différentes étapes de développement, dénotant une progression croissante du nombre et de la complexité de ses capacités. Les développeurs en charge des vecteurs d’attaque semblent essayer différentes approches telles que les anciens exploits pour les vulnérabilités Word à partir de 2017 ainsi que le déploiement de trojans, indique ESET.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciel : Snake, le nouvel ennemi des usines

Les experts de la sécurité informatique ont découvert récemment un virus informatique pouvant de s’en prendre à des systèmes informatiques des structures industrielles et de les mettre hors d’état de fonctionner.

Ce qui est, il faut l’avouer quelque chose de nouveau dans le milieu de la cybersécurité. Les rançongiciels classiques se contentent de chiffrer les données des système d’informations, qu’ils prennent en otage, ce qui permet à leurs éditeurs d’exiger le paiement d’une certaine rançon aux victimes en échange des clés de déchiffrement. On se rappelle qu’en 2019, le nombre de ces programmes qui ont été utilisés dans les cyberattaques en pratiquement doublé. Faisant de l’année en question « l’année des ransomwares » selon les experts.

Cet article va aussi vous intéresser : Attaque au rançongiciel : une entreprise polynésienne s’est fait surprendre

Cependant, Snake, c’est comme ça qu’il a été dénommé, est un programme un peu à part. Ce n’est pas un rançongiciel classique car lui s’attaque au réseau industriel. Il a été découvert le 7 janvier suite à une publication d’un chercheur en sécurité informatique de chez SentinelOne, une firme éditrice de solutions de cybersécurité, du nom de Vitali Kremez sur son compte Twitter. Selon ces dernier, Snake serait capable d’endommager le système informatique des sites industriels et cela au niveau des opérations critiques.

Selon les données fournies par FireEyes, le programme malveillant est en mesure de mettre en échec plus de 10 % des services utilisés de nos jours dans le secteur de l’industrie. On parle ici d’une centaine d’outils de gestion. Cela montre l’ampleur du problème. David Grout, expert de la cybersécurité de chez FireEyes met en garde sur la dangerosité de ce nouveau programme. Il précise que ce sont bel et bien des logiciels qui sont vulnérables face à lui, et non de simples protocoles. « Snakehose [le nom donné par FireEye à ce logiciel malveillant, ndlr] n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services d’équipements industriels, comme les interfaces hommes-machines ou les logiciels de gestion de logs et de sauvegarde (historians) », souligna notre expert.

Mais il semblerait dans la pratique que ce programme Snake ne soit pas véritablement inédit, car selon l’expert FireEyes : « Snakehose n’est pas le premier ransomwares à viser les réseaux industriels, poursuit-il. Il y a eu LockerGoga en 2019 [qui a infecté Altran et le producteur norvégien d’aluminium Norsk Hydro, respectivement en janvier et en mars, ndlr]. Mais la liste des services qu’est capable de « tuer » Snakehose est bien plus importante ! ». Pour résumer, il n’est pas du tout original comme programme malveillant, il semble être le plus dangereux de sa catégorie.

L’apparition d’un tel programme surtout en ces périodes de troubles sanitaires démontré que l’appât du gain des pirates n’en démord pas pour autant. Et le secteur industriel qui semble cibler cette fois-ci, est dans une position très inconfortable. « L’arrivée de ransomwares comme Snake reflète l’appât du gain de la part des groupes cybermalveillants, qui se sont rendu compte que les victimes industrielles avaient tendance à payer plus rapidement que d’autres (collectivités territoriales, institutions financières…) pour repartir immédiatement en production. » reprend David Grout.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des virus informatiques derrières le virus du Covid-19

Aujourd’hui, des centaines d’applications ont été conçues concernant la propagation du virus de COVID-19.

Des sites internet aussi. Cependant toutes ces plateformes ne sont ce qu’elles semblent être. En effet, les cybercriminels ont décidé de leur côté de profiter comme ils peuvent de la pandémie. Et pour cela, ils conçoivent au même titre que les institutions officielles de lutte contre la pandémie, mais pas pour les mêmes raisons, des plateformes numériques tels que des sites web ou des applications permettant d’induire en erreur les utilisateurs du web de plus en plus inquiet à la recherche des informations fiables sur la maladie.

Cet article va aussi vous intéresser : Le coronavirus : l’appât de choix des pirates informatiques

Grâce à cette stratégie, ils arrivent à infiltrer des système informatique et réseau domestique, et même des réseaux sociaux pour dérober des données importantes ou mener d’autres activités de cyberdélinquance. En effet, il a été enregistré ces derniers temps plusieurs noms de domaines et en lien direct avec le coronavirus. Selon les spécialistes la moitié de ses liens sont suspects, donc pourrait être contrôlé par de potentiels pirates informatiques.

« Avec la crise du Covid-19, les pirates informatiques ne chôment pas. Le confinement imposé dans de nombreux pays a poussé les entreprises à mettre en télétravail leurs salariés. Mais les outils informatiques à domicile peuvent se révéler bien plus vulnérables que les logiciels et les infrastructures déployés au bureau. C’est le risque des « shadow IT », les outils personnels utilisés à des fins professionnelles, auxquels on peut ajouter le téléphone portable où sont parfois téléchargées des applications douteuses. » notait Nathalie Hernandez, journaliste. Par ailleurs, Un responsable des solutions de communications sécurisées de Ercom, Romain Waller explique que les menaces informatiques prennent diverses formes et ce n’est pas tout. Il n’y pas que les pirates les pirates informatiques qui en profitent. Apparemment, certaines autorités y ont vu une aubaine pour étendre leur surveillance sur leurs populations. Selon la société américaine de cybersécurité dénommée Lockout, les autorités de la Libye moi aussi mis en place une application Android qui permet d’espionner la population. Cette application prend la dénomination de Corona live 1.1. application supposée donner de façon officielle et en temps réel certaines informations relative à l’expansion du virus COVID-19, mais qui en fait cache un programme malveillant permettant d’espionner les utilisateurs mais aussi de prendre le contrôle de certaines fonctionnalités de l’appareil infecté tel que le micro, l’appareil photo ou encore les messages.

En outre, la pandémie du coronavirus, est un vecteur de cybermalveillance mondiale. Déjà au début de l’épidémie cela avait été constaté en Asie. « Dès le début de l’épidémie, les attaques ont commencé. On a observé leur progression en même temps que celle du virus », observe Romain Waller, d’Ercom. « [La contamination est partie] d’Asie. ».  Selon la société de sécurité FireEyes, il a été observé une augmentation des activités de cybercriminalité de la part de certains groupes de pirates chinois. Et cela depuis le début du mois de janvier 2020 au moment où les virus commençaient à se répandre de plus en plus hors de Chine. La société de cybersécurité a signifié que 75 % de sa clientèle dans le secteur de la télécommunication, de l’humanitaire et de la santé, a été victime de ses pirates informatiques. Ce qu’elle a qualifié « d’une des plus vastes campagnes chinoises de cyber-espionnage observées ces dernières années. »

Pour lutter contre cette recrudescence de la cybermalveillance, plusieurs responsables experts de la cybersécurité ont décidé de se réunir pour faire barrière au programmes informatiques malveillants et aux cyberattaques profitant de la pandémie. Plus de 400 volontaires constituent cette nouvelle équipe, parmi lesquels on peut trouver des experts provenant des grandes firmes tel que Microsoft, Facebook ou encore Amazon.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage