Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Le rançongiciel, la plus importante menace informatique

Nous sommes en 2020 et les attaques au rançongiciel sont de plus en plus imminentes et surtout croissantes.

Tous les secteurs ciblés et avec la pandémie à coronavirus, les pirates informatiques redoublent d’ardeur. Si 2019 avait été mentionné comme l’année des rançongiciels, il est clair qu’à cette allure, 2020 lui vont leur a clairement la vedette. C’est sûrement pour cette raison que plusieurs spécialistes de la sécurité informatique le considèrent comme étant la menace principale à craindre cette année.

Cet article va aussi vous intéresser : 4 idées reçues sur le rançongiciels

La vague d’attaque que subit les hôpitaux américain et canadien ainsi que les collectivités en France démontre clairement, que la situation est assez dramatique. Mais plusieurs situations ont peut-être favorisé ce contexte. « Pour moi, c’est lié à une transformation de cette menace, qui pendant un certain temps, touchait avant tout des particuliers pour de modiques sommes, et qui aujourd’hui frappe des entreprises avec des rançons qui atteignent des millions de dollars. L’impact économique est fort et oblige les entreprises à s’adapter et à réagir », explique Ivan Kwiatkowski, chercheur au sein de l’équipe GReAT de Kaspersky.

Si selon plusieurs approches la pandémie a coronavirus a facilité l’explosion des rançongiciel, les spécialistes de Kaspersky mentionnent que c’est totalement le contraire. Pour ce dernier, on peut plutôt observer une diminution des attaques informatiques. Seulement que « La pandémie a servi à être plus pertinent dans les attaques. » mentionne Tanguy de Coapont, le directeur de la filiale française de Kaspersky. « Face au chantage, une entreprise ne peut plus nier qu’il y a un incident » ajoute-il. De son côté, Ivan Kwiatkowski note : « En termes de volume, l’impact de la Covid n’a pas influé. Ce n’est pas parce qu’on est confinés ou que des entreprises se mettent en chômage partiel que tout à coup les attaquants se multiplient. Comme dans chaque crise économique et politique, le prétexte du virus se retrouve utilisé par les attaquants pour fabriquer des pièges qui auront plus de chances de toucher leurs victimes, du fait de l’inquiétude générale dans la population. ».

Toutefois l’évolution des attaques au rançongiciel doit être soulevé. En effet, les cybercriminels ne se contentent plus de chiffrer l’accès aux données des entreprises. Ils font du chantage. Lorsqu’une organisation leur résiste, ces derniers la menacent automatiquement de divulguer des informations sur internet. Des informations qui sont dans certaines conditions confidentielles, ou concernent des données personnelles des utilisateurs des entreprises. L’idée bien sûr et de mettre le maximum de pression sur ces dernières pour qu’elle cèdent face à la menace. « Le chantage appliqué aujourd’hui à ces entreprises vise à mettre une pression maximale sur la victime, de manière à faire en sorte qu’elle paye. L’une des techniques des attaquants est de voler des données internes, et de les mettre en pâture au public sur des sites dédiés avec l’épée de Damoclès de la rançon : si on ne paie pas, les informations seront livrées à tous. Une entreprise prise dans cette situation ne peut plus nier qu’il y a un incident, puisque ses données sont déjà affichées quelque part, même si elles ne sont pas encore déchiffrées. » souligne le responsable de Kaspersky en France.

Si la recommandation de manière générale est de ne jamais payer la rançon exigée, il faut malheureusement souligner que par rapport au contexte, respecter cette règle est du moins difficile. Pourtant, céder au chantage est bien sûr courir le risque d’être à nouveau attaquée par ces mêmes cybercriminels ou d’autres. Même si cela n’est pas le cas, payer les cyberattaquants est encourager la pratique. Et malheureusement c’est le cas aujourd’hui. Si les sommes d’argent exigées étaient modiques avant, aujourd’hui elles atteignent des records. « On peut dire deux choses là-dessus. D’abord, en termes de chiffres, l’université américaine de Temple a listé tous les cas de ransomware entre 2013 et 2020 qui ont été publiés dans la presse, avec à chaque fois le montant de la rançon, le secteur d’activité de l’entreprise, sa taille, la durée de l’incident et un paiement éventuel ou pas. Sur plus de 700 cas recensés, ils ont pu noter 200 entreprises qui ont officiellement payé. Le chiffre réel est donc certainement bien supérieur. Sur les impacts de payer la rançon : lorsqu’on est dans un système où la liste des victimes est publiée et qu’elle disparaît du jour au lendemain du site de l’attaquant si la rançon est versée, il est très facile pour les autres groupes de voir ce site et de savoir qui sont les bons et les mauvais clients, les bons et les mauvais payeurs », souligne Ivan Kwiatkowski.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Alerte ! Un nouveau virus ça se fait passer pour des messageries populaires d’Android

Les spécialistes de la société de cybersécurité ESET en fait la découverte en un nouveau malware.

Un logiciel espion qui cible particulièrement les utilisateurs du système d’exploitation de Google Android. Il aurait été conçu par un groupe de pirate classé dans la catégorie des menaces persistantes avancées, le groupe APT-C-23. Ce qui rend encore plus dangereux ce programme malveillant, c’est sa capacité à se faire passer pour des applications de messagerie déjà connues, pour facilement duper les utilisateurs que ce nous sommes.

Cet article va aussi vous intéresser : Valak: focus sur un virus qui menace les données personnelles

En avril dernier, lors d’un tweet publié par un certain @malwrhunterteam que tout commence véritablement. La publication met en évidence la découverte de virus informatique qui jusque-là et peu connu. Après la publication, les chercheurs en sécurité informatique de la société ESET vont alors se pencher sur la question. Après une enquête minutieusement menée, ils se sont rendu compte que le programme malveillant Android/SpyC23.A était lié d’une certaine manière au groupe APT-C-23, les pirates informatiques qui seraient actifs depuis au moins 2017.

« C’est une nouvelle version améliorée de leur logiciel espion mobile », a noté Lukas Stefanko, un chercheur en sécurité chez ESET. En clair, une version un peu plus dangereuse de logiciel qui existait bel et bien. « Android/SpyC23.A » est en réalité une nouvelle version de logiciel développé par le groupe de pirates d’APT-C-23, destiné à des pratiques d’espionnage. Les cibles principales de ces cybercriminels à travers le malware sont des utilisateurs des smartphones Android au Moyen-Orient.  Selon les spécialistes, la nouvelle version est beaucoup dangereuse, est difficile à détecter. C’est en 2017 que la toute première version a été identifié par Qihoo 360 Technology. On le connaissait sous la dénomination de « Two-tailed Scorpion ». Il faut signifier par ailleurs que APT-C-23 utilise aussi des composants Windows pour ses cyberattaques.

Pour en revenir à « Android/SpyC23.A », le chercheur d’ESET qui l’ont étudié de plus près affirment que le logiciel espion a été détecté dans certaines applications prenant la forme de logiciel de messagerie connu tel que Telegram ou encore Threema. Pour aller plus loin les cybercriminels au même créer une boutique d’application en ligne, pour faciliter la mise en scène et trompé les utilisateurs. Une boutique qui contient à la fois des applications officielles et des applications truquées.

« Les pirates utilisent des techniques d’ingénierie sociale pour tromper les victimes et les conduire à octroyer différents privilèges sensibles au malware. Par exemple, la permission de lire les notifications est présentée comme étant une fonction de chiffrement des messages », a souligné Stefanko.

Une fois les autorisations obtenues, le logiciel malveillant peut permettre alors de surveiller les différentes tâches effectuées sur le smartphone infecté. Il peut aussi permettre à ses utilisateurs de transférer des fichiers vers des serveurs appartenant au groupe de pirates.

Face à la menace, société de sécurité informatique recommandant utilisateur de se limité qu’aux applications présentent sur la boutique officielle. Elle recommande aussi de faire très attention lorsque vous validez les autorisations demandées par les applications que vous installez. La dernière recommandation et l’installation de solutions de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Valak: focus sur un virus qui menace les données personnelles

Le programme malveillant connu sur le nom de Valak commence à s’étendre de plus en plus sur le web, cela est une société spécialisée dans la sécurité informatique.

Le logiciel malveillant se propagerait à travers un document Word, ajouté comme pièce jointe dans certaines correspondances électroniques. L’objectif de ce virus : voler le maximum des données personnelles.

Cet article va aussi vous intéresser : Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

Cet état de fait a été mis en avant par l’entreprise américaine CheckPoint, une spécialiste dans la fourniture de solutions de sécurité informatique de niveau mondial. On peut s’en rendre compte dans son rapport produit sur les 10 programmes malveillants les plus dangereux pour le mois de septembre 2020. Au premier rang de ce classement, c’est le célèbre Emotet, un virus qui a su profiter de la crise de la Covid-19 pour se propager encore plus.

Si Valak a attiré l’attention des spécialistes de la sécurité, c’est parce que son nom a commencé à s’étendre plus que d’habitude. De venir ici une menace à ne plus négliger, à cause de sa propagation. Les comptes en ligne, les ordinateurs et les entreprises en sont dorénavant menacés par ce logiciel malveillant qui jusque-là était discret

Le temps qu’il a connu comme étant le virus des données personnelles à cause de sa propension à vouloir les subtiliser. Il a donc un danger à ce niveau qu’il faut surveiller de près. Ce virus à cible à tout le monde. Les entreprises, les organismes publics, les particuliers. Les chercheurs font aperçu l’activité de ce programme malveillant vers la fin de l’année 2019. A ce moment, il agissait plus tôt quand même propagateur de virus. Avec la nouvelle version en circulation, il devient le même un virus à part entière. En d’autres termes, il ne se contente plus de propager à travers les terminaux des virus. Il est lui même un virus et sans prendre directement aux ordinateurs pour en extraire les informations.

Apparemment, le logiciel malveillant cible particulièrement les informations stockées sur Microsoft Exchange, selon le chercheur de checkpoint. Ce qui dans un certain sens pourrait limiter son champ d’action. Cependant, il est aussi capable apparemment de dérober des identifiants de connexion sur des ordinateurs qu’il aurait infectés. C’est qui malheureusement mets les comptes en ligne en danger. Mais il est fort à parier que les services populaires sont généralement les plus ciblées tels que Facebook, Google, ou encore les plateformes bancaires. Les informations tel que les certificats de domaine seraient aussi concerné par Le champs ciblé de Valak. Et cela se comprenait nettement car, lorsque le certificat HTTPS d’un site l’entreprise est contourné, les données générées où échangées par les visiteurs du site ne sont plus cryptées ils peuvent être alors récupérées par les pirates informatiques. Ce qui est assez effrayant quand on imagine la possibilité des informations qui peuvent être volées sur un site dédié aux transactions, peu importe dans la nature. Tous les visiteurs du site web cibler dans ce contexte sont exposés.

La directrice de la recherche et l’intelligence sur les menaces chez Check Point, Maya Horowitz explique certains points sur le virus : « Ces nouvelles campagnes diffusant Valak sont un autre exemple de la façon dont les acteurs de la menace cherchent à maximiser leurs investissements dans des formes établies et éprouvées de logiciels malveillants. Avec les versions mises à jour de Qbot qui ont émergé en août, Valak est destiné à permettre le vol de données et d’identifiants à grande échelle auprès d’organisations et d’individus. Les entreprises devraient envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d’atteindre les utilisateurs finaux, et conseiller à leurs employés d’être prudents lors de l’ouverture de courriels, même lorsqu’ils semblent provenir d’une source fiable. ».

À la question de savoir comment se protéger de Valak, il faut d’abord appréhender son mode de propagation. Le système est un classique pur. La propagation par document Word infecté une logique de phishing courant. Une pratique connue mais qui est toujours aussi efficace. Il est donc en recommandé une grande vigilance dans le traitement des courriels des pièces jointes. Si la provenance d’un courrier électronique vous est méconnu, vous devez tout simplement éviter ouvrir. Au cas où vous pouvez visiter le site VirusTotal qui veut offre la possibilité de scanner des pièces jointes sans avoir à les ouvrir. Avec cette précaution supplémentaire, vous pouvez éviter beaucoup de désagrément. Enfin, utiliser une solution antivirus pour bloquer ce genre de menace en amont.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

De plus en plus de collectivités touchées en France par les ransomwares

Le mardi dernier, la ville de Mitry-Mory voyait ses données confidentielles publiées sur internet.

Depuis le début de l’année, les collectivités locales sont de plus en plus touchées par les attaques au rançongiciel. La crise sanitaire à d’une certaine manière profiter aux pirates informatiques qui ont le vent en poupe.

Cet article va aussi vous intéresser : L’île de France à l’épreuve des ransomwares

La longue liste des collectivités françaises touchées par les attaques vient de s’allonger avec Mitry-Mory en Seine-et-Marne. Les pirates informatiques ayant essayer de faire chanter les responsables de la ville sans succès ont décidé de publier en ligne les données dérober sur le système informatique de la ville dont il avait le contrôle. L’objectif bien sûr est de faire pression sur la collectivité pour qu’elle puisse céder au chantage. Selon les premiers responsables de la ville, elle ne payera de toute manière pas les rançons demandées. D’ailleurs elle n’aurait reçu « aucune nouvelle demande de rançon ».

La commune explique sa position ferme parce « qu’aucune donnée confidentielle ou dommageable pour les administrés n’a été volée ». Il faut rappeler que la ville avait été attaquée durant la semaine du 18 et du 19 juillet 2020. Le rançongiciel utilisé ici est célèbre en son genre et il s’agit de « DoppelPaymer ». 

À cause du développement du télétravail dû à la crise sanitaire, les systèmes informatiques des collectivités ont été plus que vulnérables. La multiplication des postes de travail à distance a été un facteur déterminant dans cette explosion de la cybercriminalité dirigée contre elles. Et il faudra s’attendre à encore plus d’attaques les mois à venir.

« Entre janvier et septembre 2020, l’industrie, les collectivités territoriales et la santé ont été les secteurs d’activité les plus affectés par les attaques par rançongiciels traitées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) », souligne François Deruty, sous-directeur Opérations de l’Anssi, lors du lancement du Cybermois, un événement de sensibilisation qui débute généralement en octobre chaque année.

Par ailleurs, selon un rapport fourni par le club des professionnels de la sécurité informatique, 30 pour 100 des collectivités interrogées lors de leurs enquêtes (environ 200) ont affirmé avoir été touchée par un rançongiciel. Et 53% des collectivités locales ne communiquent même pas sur les incidents informatiques donc elles sont victimes. Certaines ont dû informer leurs administrés parce qu’elles n’ont pas réussi à cacher l’incident.

Voici quelques collectivités ayant été recensées par le CLUSIF comme étant victime de cyberattaque.

– Saint-Paul-en-Jarez, dans la Loire, en janvier. La collectivité a été touchée par Sodinokibi, un ransomware qui a apparu en avril 2019 et qui a été utilisé contre plusieurs villes de l’État du Texas, selon un rapport de l’Agence Nationale de Sécurité des systèmes d’information.

– en Isère, plusieurs communes ont été victimes du même genre de cyberattaque, notamment Crêts-en-Belledonne ou Tullins-Fure, toujours en début d’année.

– La région Grand-Est a été victime début du mois de février par le rançongiciel « Dridex »

–  La métropole d’Aix-Marseille-Provence, e mars, avec la ville de Marseille et de Martigues, victimes de rançongiciels, causant ainsi de nombreux dégâts à la veille des élections municipales. Les attaques ont coïncidé avec le début de la période de confinement.

–  Dans le Morbihan, 2 communes ont été aussi touché par des attaques informatiques.

Dans la foulée, l’Agence nationale de sécurité de système d’information avait publié un ensemble de mise en garde suivi d’une mise à jour des informations connues sur le cryptovirus Mespinoza/Pysa, un programme malveillant utilisé contre les systèmes informatiques des collectivités bucco-rhodaniennes.

En début du mois de septembre, les données qui ont été collectées lors de ces différentes cyberattaques ont été mises en ligne par les pirates informatiques. « Il est désormais important de prendre en compte ce nouveau risque sur la confidentialité des données qui peut notamment amener des implications importantes liées à la réglementation RGPD », souligne Le Gendarme de la cybersécurité sur ces nouvelles pratiques.

Durant le mois de juillet, en plus des attaques informatiques qui ont cibler la ville de Mitry-Mory, le département d’Eure-et-Loir a été aussi touché par des incidents de ce genre. La collectivité a été littéralement paralysée pendant plusieurs jours au niveau informatique.

En outre, « 90% des attaques pourraient être réglées avec des mises à jour régulières, des mots de passe solides et des sauvegardes hors ligne. » note l’expert pour cybermaveillance.gouv.fr, la plateforme gouvernementale de prévention des cybermenaces, Jean-Jacques Latour.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un malware qui vole le code d’authentification à double facteur

L’authentification à multiples facteurs se présente aujourd’hui comme l’un des protocoles de sécurisation des accès les plus efficaces.

Cela permet de protéger ses accès et aussi de pouvoir se connecter sans craindre une fois des tentatives de phishing. Surtout lorsque on veut se connecter via un autre appareil. L’application de l’authentification à double facteur est étendue sur plusieurs secteurs financiers. Des secteurs bancaires au réseau sociaux en passant par les utilitaires administratifs.

Cet article va aussi vous intéresser : Google Authentificator : un programme informatique malveillant serait capable de dérober les codes de l’authentification à double facteurs

Méthode supplémentaire ajoutée grâce à une authentification à double facteur consiste tout simplement de confirmer son statut après avoir fait rentrer le mot de passe par un code qui est généré automatiquement et envoyer par sms ou email. En d’autres termes en même si le cybercriminel réussi à dérober le mot de passe, lui sera difficile de mettre la main sur le code authentification qui lui est généré instantanément et envoyer par mail au texto.

Mais cette réalité risque de changer. En effet, il semblerait qu’il existe un programme malveillant qui pourrait briser l’authentification à double facteur.

Le vendredi dernier des chercheurs en sécurité informatique ensemble qui l’a découvert un groupe de cybercriminels iranien avait réussi à développer un nouveau malware Android qui serait en mesure de contourner la fameuse authentification. Et cela en dérobant les codes envoyés par SMS à pour la seconde vérification. Ce groupe de pirate informatique se fait appeler « Rampant Kitten ». Il serait en activité depuis maintenant 6 ans. Selon certaines informations, il serait affilié au gouvernement Iranien et chargé dans ce contexte de mener certaines opérations de surveillance de potentiels des ennemis du pays, des organisations telles que l’organisation de la résistance nationale d’Azerbaïdjan ou celle qui lutte pour le peuple du Baloutchistan.

La découverte de ce nouveau programme malveillant a été faite par les spécialistes de la cybersécurité de CheckPoint Research. Ils l’expliquent dans un rapport publié le vendredi dernier. Apparemment une porte dérobée aurait été créé par c’est informatique sur Android. Grâce à cette ouverture, ce dernier peut facilement accéder à certains l’aspect des smartphones pour nos sous Android tel que les Contacts et les messages texte. Ils seraient aussi capables d’activer le micro des smartphones et d’espionner les utilisateurs. Et bien sur la possibilité de facilement s’emparer des codes pour l’authentification à multiples facteurs.

Pour le moment, on sait que la priorité des cybercriminels est de cibler en particulier les services Google. En effet les chercheurs de checkpoint ont affirmé que le programme malveillant se focalise pour le moment sur les messages de double authentification « contenant la chaîne “G-“, un préfixe utilisé sur tous les messages de vérification envoyés par Google ». En pratique, la cible doit être les utilisateurs des services tel que Google Drive, Gmail, etc.

Pour commencer les cybercriminels procède de par une tactique de phishing classique. Ils produisent une page factice du service Google concerné. Ils attendent simplement que l’utilisateur saisie les informations d’identification nécessaires pour accéder à son compte. Avec l’activation de l’authentification à double facteur, le direct informatique profite pour introduire dans le smartphone de leur cible à travers un sms un cheval de Troie. Malware qui leur donnera accès au message. Ils pourront donc récupérer le code d’identification envoyé en second lieu pour l’authentification double.

Toutefois, les chercheurs de la société de cybersécurité ont précisé que ce programme malveillant n’est pas typiquement destiné au service Google même si pour le moment il semble que c’est seulement que dans cet environnement qu’il se focalise. Mais il semblerait que les pirates informatiques utilisent pour réussir à contourner la double authentification imposée par l’application de messagerie Telegram d’autres réseaux sociaux tels que Facebook ou même Twitter. On retiendra par conséquent que le groupe de pirate iranien “Rampant Kitten” tu n’es pas la seule équipe d’hacker à réussir à briser la double authentification. En 2019, le groupe APT20 avait aussi été pressenti pour avoir contourné ce protocole de sécurité. Cependant, la mise en pratique dans des conditions réelles n’est pas aussi simple que cela a l’air. Mais le risque n’est quand même pas à négliger. Si ce protocole est autant ciblé par le cybercriminel, c’est sûrement que dans un certain sens son efficacité est avérée.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage