Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Quand un programme malveillant copie un autre pour plus d’efficacité

Maze est un célèbre ransomware qui a été impliqué dans beaucoup d’attaques informatiques au cours de l’année dernière et cette année, en particulier celle qui a affecté le géant Français Bouygues.

Mais les éditeurs de ce programme ont décidé de passer à la vitesse supérieure. En effet ce célèbre rançongiciel copie le système de camouflage utilisé par un autre célèbre de son genre, Ragnar Locker. Ce camouflage permet au rançongiciel d’être difficilement détectable sachant qu’il se cache derrière une machine virtuelle. Ce qui empêche les systèmes de détection standard de s’apercevoir de sa présence.

Cet article va aussi vous intéresser : Attaque de Bouygues construction : 3 choses à savoir

Cette nouvelle technique employée par les éditeurs de maze a été découverte par la société britannique de cybersécurité Sophos durant le mois de juillet. Et cela suite à une tentative d’intrusion qui a vite été interceptée. Le groupe de cybercriminel derrière cette tentative n’a pas encore été détecté.

On retiendra alors que les cybercriminels disposent dorénavant de plus de moyens qui leur permet de disséminer plus facilement leur rançongiciel. Du moins, c’est ce qui semble évident avec la découverte de se Sophos. Une découverte qui est survenue 4 mois après l’utilisation de cette technique par Ragnar Locker. La technique permet aux éditeurs de logiciels de rançonnage de dissimuler leur programme malveillant derrière des machines virtuelles. Ce qui empêche les programmes de sécurité que la cible de les détecter plus facilement. Le cas devient alors compliqué lorsqu’on sait à quel point le rançongiciel Maze à été impliqué dans la cyberattaque de plusieurs grosses entreprises à travers le monde à savoir le géant coréen LG, Bouygues construction, Leon Grosse, Canon, Xerox, Cognizant, SK Hynix…

« Lors de l’incident Maze, les acteurs de la menace ont distribué la charge utile de chiffrement de fichier du ransomware sur le disque dur virtuel de la machine virtuelle (un fichier d’image de disque virtuel Virtual Box .vdi), qui a été livré dans un fichier d’installation Windows .msi de plus de 700 Mo en taille », explique la spécialiste de la sécurité Sophos dans un billet de blog. « Les attaquants ont également regroupé une copie épurée, vieille de 11 ans, de l’hyperviseur Virtual Box dans le fichier .msi, qui exécute la VM comme un terminal non déterminé, sans interface utilisateur. » ajoute t’elle. Cependant, cela est différent la tactique qui a été utilisée lors de l’attaque du géant portugais de l’énergie EDP, avec le logiciel Ragnar Locker. Ici, le programme malveillant avait été déployé dans une machine virtuel sur Windows 10.

La société Britannique de sécurité informatique Sophos a expliqué avoir découvert la nouvelle technique le des simulations du rançongiciel Maze lors d’une enquête mini durant le mois de juin après qu’une organisation ait été ciblées par une attaque informatique. Le montant de la rançon exigée par les cybercriminels était à hauteur de 15 millions de dollars. Alors, on peut imaginer que c’est une grosse organisation qui a été attaquée même si Sophos se garde de donner son nom. Les cybercriminels ont tendance à adapter le prix en fonction de leur cible. « L’enquête a également révélé plusieurs scripts d’installation qui ont révélé les tactiques des attaquants et ont révélé qu’ils avaient passé des jours à se préparer à lancer le ransomware en créant des listes d’adresses IP à l’intérieur du réseau de la cible, en utilisant l’un des serveurs de contrôleur de domaine de la cible et en exfiltrant données au fournisseur de stockage cloud Mega.nz », note Sophos.

D’après cette dernière, le pirate informatique a réussi leur coup après avoir réussi plus de 3 fois. Car les deux premières tentatives ont échoué. Ils avaient essayé de lancer des fichiers exécutables de leur programme malveillant en utilisant les tâches planifiées de Windows Update Security Patches et Google Chrome Security Update ou Windows Update Security. Selon les explications de Sophos : « La machine virtuelle a apparemment été configurée à l’avance par quelqu’un qui savait quelque chose sur le réseau de la victime, car son fichier de configuration (« micro.xml ») mappe deux lettres de lecteur qui sont utilisées comme lecteurs réseau partagés dans cette organisation particulière, vraisemblablement ainsi peut crypter les fichiers sur ces partages ainsi que sur la machine locale. Il crée également un dossier dans C: \ SDRSMLINK \ et partage ce dossier avec le reste du réseau ». La société de sécurité informatique explique que : « À un moment donné (on ne sait pas quand et comment, exactement, cela a été accompli), le logiciel malveillant a écrit également un fichier nommé startup_vrun.bat. Nous avons trouvé ce fichier dans c: \ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup, ce qui signifie qu’il s’agit d’un mécanisme de persistance qui repose sur le redémarrage de l’ordinateur avant que les attaquants ne lancent le malware. ». Le script a permis aux cybercriminels de mettre une commande afin de stopper l’ordinateur immédiatement après avoir copié 3 fois le même fichier, qui se trouvait dans la racine du disque. Les pirates informatiques ont attendu que la machine soit rallumée pour que le script s’exécute et produit les conséquences qui ont suivi.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

100 000 dollars, voilà combien coûte exactement le code source de Cerberus, un programme malveillant virulent

Durant le mois de juillet dernier, les cybercriminels à l’origine du programme malveillant connu sous le nom de Cerberus, destinée à infecter les terminaux tournant sous Android, ont décidé de mettre en vente le code source de leurs outils de cybermalveillance. Les pirates informatiques évaluent l’importance de ce virus à hauteur de 100000 dollars.

À titre de rappel, notons tout simplement que Cerberus est un programme malveillant de type Trojan (cheval de Troie) bancaires. Touchant seulement les appareils tournant sous Android, sa fonctionnalité principale est de dérober les informations de nature financières. Cependant après la dissolution de l’équipe de pirates informatiques à la tête de ce programme malveillant, son code source est mise en vente.

L’annonce de la vente de code source de programme malveillant a été observé sur plusieurs formes clandestins généralement russophones. C’est le média spécialisée Bleeding Computer qui fait la déclaration de cette observation. Si l’objectif à l’origine était de générer plus de 100 000 dollars dans la vente du code source de Cerberus, le prix annoncé dès le départ de la vente était de 50 000 dollars. Cela a été repéré très tôt par Hudson Rock. Au départ à ce prix, il était possible de non seulement avoir le apk du programme malveillant, mais aussi son code source, le code de panneaux d’administration, le code de module et les serveurs. Et pour les clients qui souhaiteraient intégrer le programme malveillant dans leur propre terminal, avait en appuie une licence active et certains matériels permettant les installations nécessaires.

Comme explication de la vente du de l’ensemble de programme, les éditeurs de Cerberus signifient que le groupe de pirates s’est finalement dissous et que le manque de temps les empêche d’opérer comme il le fallait avant.

L’argument phare utilisé par les vendeurs de code source de Cerberus est que ce dernier programme malveillant était en mesure de générer plus de 10 000 dollars de bénéfice par mois à son utilisateur.

Cet argument est plausible quand on sait que ce programme malveillant est en circulation depuis 2019 et a été plusieurs fois été repéré dans la boutique officielle de Google, le PlayStore. Après avoir réussi à contourner tous les programmes de protection déployée par le géant américain. Il s’est généralement caché derrière des convertisseurs de devises. Un outil qui a été téléchargé près de 10 000 fois. Une fois l’application téléchargé, grâce à une mise à jour qui sera déployés dans plusieurs mois, les éditeurs intègrent alors le cheval de Troie qui leur permettent d’avoir accès aux données de l’utilisateur, derrière les protections de sécurité de Google.

À écouter les chercheurs de la société de cybersécurité Avast, qui ont étudié le programme malveillant, jusqu’au mois de Mars, l’application qui renferme Cerberus s’est comportée tout à fait légitimement en comme une application simple. S’est progressivement que le cheval de Troie a commencé à s’activer peu à peu jusqu’à devenir un problème pour les utilisateurs touchés.

Pour ce qui concerne son fonctionnement, les chercheurs de ThreatFabric notaient ceci : « Une fois déployé sur un appareil, le malware crée des superpositions entre les services financiers et les applications bancaires existants afin de voler les informations d’identification des comptes, qui sont ensuite envoyées au serveur de commande et de contrôle (C2) de l’attaquant. Le cheval de Troie est également capable d’intercepter les mécanismes d’authentification à deux facteurs (2FA), tels que les codes d’accès à usage unique (OTP), afin d’obtenir les informations nécessaires au vol de comptes financiers. ».

Ces derniers avaient averti depuis le mois de février qu’ils avaient observé des programmes malveillants qui étaient en mesure d’abuser de certaines privilège d’accessibilité à Android. En particulier les OTP de Google authentificateur, un logiciel censé accroître la sécurité au niveau de l’authentification par rapport au SMS simple.

En bref, Cerberus se comporte comme n’importe quel cheval de Troie classique. Il facilite l’accès à distance à ses éditeurs de tout terminal qu’il réussi à infecté. Il possède notamment des programmes lui permettant de dérober des données de tout genre. Des SMS aux appels téléphoniques en passant par des codes de sécurité saisies. Selon les spécialistes, il possède la fonctionnalité déverrouiller à distance les smartphones infecte selon la volonté de son éditeur, de désinstaller des applications et même s’autodétruire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : les signes qui démontrent que vous êtes touchés

Depuis un certain moment les attaques basées sur les rançongiciels sont quelques choses de véritablement courant.

Il y a de fortes chances que votre organisation soit tôt ou tard ciblée par cybercriminels. Cet aspect n’est pas farfelu en ce sens où l’on sait pertinemment que les cyberattaques peuvent être ciblées ou sporadiques. De ce fait, vous devez vous préparer.  Non seulement pour vous protéger mais aussi déterminé les signes qui pourraient vous signifier que vous êtes bel et bien touchés par une cyberattaque.

Cet article va aussi vous intéresser : Ransomware : une hausse niveau des attaques des établissements de santé en 2019

Cela importe en ce sens que selon une récente étude, environ 100 demandes d’indemnisation sont présentées chaque jour près des compagnies d’assurance, dont la cause principale et des attaques fondées sur les rançongiciels. Surtout que nous savons qu’il faut environ 60 à 120 jours pour un cyber criminel, dans l’organisation d’une telle cyberattaque. En d’autres termes, il a de fortes chances que vous soyez peut-être infecté par des potentiels programmes informatiques et que la cyberattaque et sûrement en cours.

Pour cela voici, quelques indicateurs qui vous seront sûrement utiles.

1. Déterminer votre exposition de liens RDP

Comme nous le savons très bien lors d’une attaque au rançongiciel, les fichiers du système informatique ciblées sont chiffrés.  Pour réussir cela, les cybercriminels doivent enquêter et étudier de fond en comble le système en question. Et cela peut prendre beaucoup de temps. Cependant l’une de la porte d’entrée principale, est bien sûr les liens RDP (Remote Desktop Protocol) qui demeurent ouverts sur internet. « Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu’ils se trouvent derrière un VPN », a noté Jared Phipps, vice-président de la société américaine de sécurité, SentinelOne. « Le confinement dû au coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l’accès à distance. Cela ouvre la voie aux ransomwares » ajoute ce dernier.

En d’autres termes et cybercriminels commence toujours à analyser les ports RDP ouverts

2. la présence de logiciels inconnu sur le système informatique et le réseau

Le second signe est de voir apparaître des outils informatiques qui ne sont pas connus ou maîtrisés par les collaborateurs où l’équipe informatique. Et cela se comprend très bien. Dès le début de l’attaque, les pirates informatiques de va voir le contrôle de certains PC. A travers ce contrôle ils peuvent tout simplement se procéder à l’installation des programmes malveillants. Il peut s’agir alors des outils de détection d’analyse de réseau tels que AngryIP ou Advanced Port Scanner. Si vous détectez l’usage de ces outils informatiques sur votre réseau, renseignez-vous pour savoir si l’équipe informatique en est l’instigatrice et l’utilisatrice. Dans le cas contraire, débarrassez-vous-en tout simplement. Il n’est pas aussi rare de détecter la présence d’un logiciel tel que MimiKatz, qui est utilisée par les cybercriminels pour dérober certaines informations d’identification tels que les mots de passe pour les identifiants de connexion. Les spécialistes parlent aussi d’autres applications qui sont utiles pour la création de compte d’administrateur. L’idée est d’être méfiant face à ce genre d’outils. Parmi tant d’autres on peut citer PC Hunter, IOBit Uninstaller, Process Hacker, GMER. À ce propos, l’entreprise de cybersécurité Sophos prévenait : « Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information. ». De son côté, Jared Phipps de SentinelOne note : « Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes. ».

Comme nous le mentionnons plus haut, il faut des semaines voire des mois pour que tout ceci puisse être facilement exécuter par les cybercriminels. Ce qui signifie alors que les signes sont forcément visibles. Il suffira d’être attentifs et de faire plusieurs analyses de votre système informatique.

3. Désactivation d’Active Directory et la destruction des sauvegardes

Un autre signe évident, le cybercriminel toujours de désactiver active directory. On comprend alors que la cyberattaque est sur le point de toucher à son fin. Mais ce n’est pas tout pour que l’attaque soit une réussite, il faudrait aussi corrompre les sauvegardes de telles sortes qu’une fois les informations principales chiffrées, l’organisation ne puisse pas les récupérer aussi facilement. « Et puis ils vous frapperont avec l’attaque de chiffrement », note Jared Phipps. Selon l’entreprise de cybersécurité Sophos, les cybercriminels pour être aussi tant pis de chiffrer quelques appareils histoire de s’assurer que leur plan fonctionne.

Vu de ce qui précède, la question légitime à se poser de savoir comment stopper les cybercriminels s’ils arrivent à s’infiltrer dans le réseau. Il faut tout simplement s’assurer que les logiciels sont constamment mis à jour. Ensuite il faudrait s’assurer que les collaborateurs ont une bonne formation. Qu’ils ne se permettraient pas d’ouvrir des courriels de destinataires inconnus. La majorité des cyberattaques selon les spécialistes les failles de sécurité des logiciels ainsi que de l’imprudence des collaborateurs dans leur manière de gérer les accès au système. Par ailleurs, il faut pratiquer le changement régulier des mots de passe et des identifiants de connexion. Cela pourrait avoir son utilité d’une certaine manière. Être toujours sur la défensive surtout lorsque vous voyez apparaître de nouveaux comptes d’administrateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

En début de semaine, les deux agences fédérales américaines à savoir la National Security Agency en abrégé « NSA » et Le Federal Bureau of Investigation (FBI) ont tiré la sonnette d’alarme.

Elles prévenaient les différents administrateurs de réseaux de l’existence d’un nouveau programme malveillant. La menace a été détaillée dans un document publié par les deux agents conjointement, qui fait environ 45 pages est accessible à tout le monde.

Cet article va aussi vous intéresser : Les antivirus arrivent à mieux détecter les logiciels de harcèlement

Le document en question décrit un programme informatique malveillant qui touche en particulier les systèmes informatiques qui tourne sous le système d’exploitation de IBM, Linux.

Dans ce rapport les agences américaines de manière détaillée, l’impact de ce programme malveillant ainsi que sa fonctionnalité principale d’être indétectable en quelques manières que ce soit. Selon ces dernières, les coupables à l’origine de ce virus informatique sur un groupe de pirates qui a été localise précisément en Russie. Pour le moment cela n’est qu’une simple présomption vue que des preuves concrète n’ont pas encore été fournies. Cependant le groupe indexé est reconnu pour avoir initié plusieurs cyberattaques en d’envergure internationale.

Le programme informatique malveillant dont il est question ici a été dénommé Drovorub, traduit par « bûcheron » selon le FBI et la NSA. Certains spécialistes de la sécurité informatique l’appellent plutôt en terme de « tueuse de drivers ».

En bref, on retiendra que c’est un virus hyper puissant, qui aurait été créé par des pirates informatiques assez doués. Le groupe de cybercriminels Russes accusé par les agences américaines est connu sous la dénomination de Fancy Bear. Mais on le connaît aussi sous plusieurs appellations telle que : Advanced Persistent Threat 28 en abrégé APT28, Tsar Team ou encore Pawn Storm. On retient seulement que ce groupe de pirates informatique est le principal suspect pour ce qui concerne l’attaque informatique qui aurait frappé la chaîne française TV5 Monde en 2015, ainsi que l’ingérence lors des élections américaines de 2016 tant décriée par la justice américaine.

Sinon le rapport édité par les agences fédérales américaines, la composition des virus laisse supposer que ces éditeurs ne sont pas le premier coup d’essai. Ce sont des spécialistes en la matière. Le caractère très furtif du virus ne laisse supposer aucun doute à ce niveau. Il n’a été identifié que très récemment alors qu’il serait en circuler depuis un bon moment.  Sa fonctionnalité principale est de permettre à des utilisateurs d’exfiltrer le maximum d’informations, en particulier les plus sensibles. Mais ce n’est pas tout, il peut permettre aussi de contrôler à distance plusieurs outils informatiques. Selon l’un des responsables de l’entreprise américaine de cybersécurité McAfee, Steve Grobman, le programme malveillant est comparable à un « couteau suisse », à cause notamment de ses nombreuses fonctionnalités et qu’il est susceptible de bien les cacher.

Grâce à de nombreux algorithmes qui sont greffés, il peut être décrit fortement comme le signifie les spécialistes à « une boîte à outils » qui peut facilement s’intégrer au noyau Linux des systèmes. Et cela à l’insu de l’utilisateur principal.

Pour s’en protéger, la NSA et le FBI ont recommandé dans le rapport aux différents administrateur de réseau de mettre constamment à jour leur système d’exploitation. Ils conseillent aussi de faire très attention aux fichiers dont l’origine est inconnue, car c’est potentiellement par ce genre de moyens qu’est véhiculé ce code malveillant. La stratégie principale utilisée par les cybercriminels pour propager leurs programmes malveillants serait alors l’hameçonnage. C’est d’ailleurs pour cette qu’il est demandé de redoubler de vigilance et d’informer au maximum le personnel au niveau de la gestion des identifiants de connexion tels que les mots de passe et les noms d’utilisateurs. Un regard particulier doit être dirigé vers les sites sensibles et les infrastructures d’importance vitale.

Pour le moment, les spécialistes n’ont pas encore développé de patch de sécurité pour lutter contre ce programme malveillant.  Il semble que cela ne saurait tarder cependant. Pour le moment la seule mesure de sécurité, c’est la vigilance. Par ailleurs les employés doivent être formés pour maîtriser suffisamment les rudiments nécessaires à une bonne hygiène numérique. Le rapport ne mentionnant pas exactement la date du déploiement de ce programme malveillant, on peut donc déduire que plusieurs organisations ont déjà été victimes et continue même de l’être semble-t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le scanner de vulnérabilité mis à disposition par Google

Avec le développement et la multiplication des parcs informatiques les grandes entreprises, faire la recherche de faille de sécurité est devenue une tâche pour ainsi dire fastidieuse.

Il faudrait fouiller dans des milliers des milliers de lignes de code dans le but de trouver ce qui pourrait constituer une défaillance innée à la constitution même du programme. Face à une telle difficulté, le géant américain Google, propose un service permettant, de relever le défi de la chasse aux faille de sécurité. Et cela à travers un logiciel open source, qui devrait être capable de scanner et de vérifier si dans un système en particulier il existe ou non des vulnérabilités.

Cet article va aussi vous intéresser : Un énième recours collectif contre Google

Un tel programme informatique est le bienvenu. En effet, à en croire le rapport fourni par Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité : « En 2018, le nombre de vulnérabilités logicielles a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 ». Du côté NTT, une étude récemment publiée intitulée : « 2020 Global Network Insights Report » met en évidence une augmentation accrue, des failles de sécurité avec temps les équipements des infrastructures réseau des entreprises. On pourrait déduire de là, que les entreprises n’avaient pas encore la maîtrise de la gestion des patchs de sécurité.

Mais cela peut se comprendre quand on sait que la détermination de vulnérabilité et le déploiement des correctifs de sécurité souvent se relèvent très fastidieux. Un vrai parcours du combattant en considération de la structure même des réseaux informatiques qui deviennent de plus en plus complexes et multiples

Cependant au-delà de toute considération, les organisations doivent réagir au plus tôt lorsque des cybercriminels essaie de profiter ou profites déjà de certaines vulnérabilité découverte à leur insu. Cela il va de la protection des actifs potentiellement vulnérables.

En effet, les cybercriminels aujourd’hui fonds de plus gros investissement dans l’automatisation des attaques informatiques. Ce qui signifie que le délai de réponse face à une vulnérabilité, en particulier si elle est assez critique, se mesure en seulement quelques heures. Quelques heures avant que tout ne soit totalement hors de contrôle. Un véritable défi pour les organisations qui aujourd’hui voient des millions de système à leur charge à connecter à travers le monde.

À un tel niveau, la gestion des failles de sécurité, partant de la détection à la prise en charge, doit être en grande partie automatisée, si possible totalement. Ce qui se présente comme un défi très difficile à relever. À ce niveau l’idée de Google, à travers le scanner de vulnérabilité, tombe juste à point nommé.

Déjà utilisée en interne par le géant américain, il a été mis à disposition sur GitHub depuis le mois de juin. Ce programme a été baptisé Tsunami. Ici contrairement à plusieurs programmes informatiques proposé par Google, celui-ci sera géré par la communauté de logiciel libre, car effectivement Google le propose en open source

La particularité, pour ne pas des l’une des particularités de ce programme développé par le géant américain, et il a la possibilité de mener des analyses assez précises dans des systèmes très étendus, sans nécessiter le fonctionnement de plusieurs appareils.

Sur son blog le géant américain explique la manière dont son programme exécute le processus. Elle se fait généralement en deux étapes pendant le scan. La première étape va consister à une sorte de reconnaissance. En effet la solution scanne le réseau de l’entreprise pour rechercher des ports ou des connexions ouvertes. Il analyse scrupuleusement chaque port. Il cherche à identifier les protocoles et les services qui sont en cours d’exécution pour ne pas confondre ces derniers lors de l’étiquetage des ports. Il continue son processus à travers la détection de vulnérabilité.

Ensuite, vient le second processus. Grâce aux résultats de la première étape, la solution va chercher à vérifier s’il s’agit bel et bien de faille de sécurité. Le programme va alors se servir de plusieurs des informations qu’il aurait récoltées lors de la phase de reconnaissance. Et pour confirmer ces analyses, la solution de Google va essayer des infiltrations pour confirmer ou infirmer la vulnérabilité des systèmes.

Rendre le scanner précis le plus possible, l’objectif principal de ce projet. C’est pour cette raison que Google tente de fournir le maximum de résultats avec le moins de faux positifs, en d’autres termes des détections incorrects. Car comme le démontre plusieurs d’expérience, il suffit de seul petit faux positif, pour causer l’envoi de patchs incorrects plusieurs appareils qui en réalité ne sont pas vulnérables. Ce qui pourrait entraîner des pannes dont les effets seront considérables.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage