Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Tycoon est un nouveau programme de type rançongiciel.

Il n’est pas très connu car son fonctionnement reste très inhabituel face aux autres rançongiciels. Il a été identifié durant certaines cyberattaques trop précises et assez efficace, au-delà de tout ceci, il passe inaperçu.

Cet article va aussi vous intéresser : Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Le nom du programme Tycoon la référence de son code. Selon les spécialistes, ce rançongiciel serait actif depuis décembre 2019. Il est utilisé généralement contre les systèmes Windows et Linux. Depuis sa découverte, il a été remarqué qu’il est utilisé que dans le cadre de compagnes d’attaques ciblées. Ce qui est dans l’image à ses éditeurs comme étant des pirates informatiques très sélectifs.

Son déploiement est assez spéciale. De sorte à ce qu’il puisse rester caché sur le réseau contaminé le plus longtemps possible. Les secteurs les plus ciblées par les pirates informatiques qui se sert de Tycoon sont l’éducation et celui des logiciels. Il est connu pour exploiter Java.

Sa découverte a été suite à une collaboration entre les chercheurs de sécurité de BlackBerry et les spécialistes de la firme KPMG. Vu qu’il a été codé en Java, sa forme est assez spéciale, sa forme inhabituelle permet à ses éditeurs de déployer comme un simple cheval de Troie, dans un système d’exécution Java. il a possible de le compiler dans une image, ce qui facilite sa dissimulation. « Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants sur les terminaux car il nécessite l’environnement d’exécution Java pour pouvoir exécuter le code. Les fichiers images sont rarement utilisés pour les attaques de logiciels malveillants.  Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n’ont pas eu besoin de dissimuler leur code pour réussir à atteindre leurs objectifs » signifie Eric Milam, le vice-président de la recherche et du renseignement de chez BlackBerry.

Concernant l’attaque proprement dite, la première étape n’a rien n’a rien d’exceptionnel. En effet, il est introduit dans le système, grâce à une faille des serveurs de contrôle RDP sont suffisamment sécurisés. Et bien cette méthode intrusion est assez courante durant des compagnes impliquant des programmes malveillants. Les serveurs les plus vulnérables sont ceux dont les mots de passe au sont faibles où où déjà compromis lors d’une précédente attaque.  Par ailleurs : « Une fois à l’intérieur du réseau, les attaquants se servent des paramètres d’injection IFEO (Image File Execution Options), qui permettent le plus souvent aux développeurs de déboguer les logiciels, pour se maintenir en place. » explique Eric Milam. Par la suite, les pirates informatiques pourront se servir de certains privilèges d’administrateurs pour se débarrasser des solutions anti-malwares, avec l’aide de ProcessHacker, pour accroître leur chance de réussite. Après avoir été exécuté, le rançongiciel procède chiffrement du réseau et des fichiers par ordre d’extensions qui lui sont spécifiques, tel que « .redrum, .grinch et .thanos » et conformément au mode opératoire classique des attaquants au rançongiciel, le hackers exigeront le paiement de la rançon pour libérer le réseau. Le paiement est exigé en bitcoin. La somme exigée varie selon la victime et sa promptitude à prendre contact avec des cybercriminels.

Selon les chercheurs de Blackberry, il est fort probable que « Tycoon pourrait potentiellement être lié à une autre forme de ransomware, Dharma – également connu sous le nom de Crysis – en raison des similitudes dans les adresses e-mail, les noms des fichiers cryptés et le texte de la demande de rançon. ». Et comme les compagnes se fondant sur ce programme sont toujours en cours, il semblerait, selon les probabilités, que les cybercriminels rencontrent du succès.

La bonne nouvelle, c’est qu’il est possible de le stopper à distance. Mais en guise de prévention, il est recommandé de toujours mettre ses équipements à jour, et d’éviter tout ce qui est comme geste susceptible d’exposer un des terminaux connecté au réseau de l’entreprise. Les Experts de Blackberry recommandent : « Les RPD étant un facteur répandu de compromission du réseau, les organisations peuvent s’assurer que seuls les ports qui nécessitent une connexion internet y sont reliés. ». À cet effet les entreprises doivent s’assurer que les comptes utilisés pour accéder à ses ports ne fonctionnent pas avec des identifiants fournis par défaut ou des mots de passe assez faibles pour être deviné par un pirate informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : Les entreprises menacées

Le 14 mai dernier, une filiale du groupe Bolloré basée au Congo a été victime d’une cyberattaque au rançongiciel.

Il a été question du ransomware dénommé du groupe. Les cybercriminels à l’origine de cette attaque informatique ont menacé le groupe de divulguer des informations qu’ils auraient dérobé lors de la cyberattaque si ce dernier ne répondait pas favorablement à leur demande. Emmanuel Gras, co-fondateur et CEO d’Alsid, par ailleurs ancien auditeur à l’Agence nationale de la sécurité des systèmes d’information a notifié que ce genre de cyberattaques n’était pas isolées. Cependant, ce dernier observe que : « la cible s’est déplacée dans le secteur de la logistique. Avant Bolloré, le spécialiste australien du secteur, Toll Group, avait subi les affres de Netwalker, appelé aussi Mailto », explique le PDG d’Alsid.

Cet article va aussi vous intéresser : Le groupe Bolloré attaqué par un ransomware

C’est d’ailleurs pour cette raison, que ce spécialiste a mi en avant la sécurité des structures à la fois privé et public, comme un enjeu majeur des 5 prochains années à venir. Il précise que son rôle actuel au sein de son entreprise consiste à « faire un état des lieux dans les entreprises après une attaque et de faire en sorte que les cyber-malfaiteurs ne puissent plus revenir ».

La création de la société spécialisée Alsid répond à l’idée de répondre à un besoin de sécurité qui s’étend de plus en plus. « Nous étions arrivés à la conclusion qu’un schéma se répétait dans toutes les entreprises du monde : les serveurs, les postes et les mobiles sont gérés par un système central, Active Directory, et celui-ci est très attractif pour les cyber- assaillants car, dès lors qu’ils en prennent possession, ils peuvent attaquer toute l’entreprise. Nous avons donc décidé de fonder Alsid pour adresser cette problématique majeure ». C’est d’ailleurs ce genre de plan, qui a été suivi par les pirates informatiques à l’origine du logiciel de rançonnage Netwalker. Cependant, l’expert a remarqué une nette évolution des motivations sur le long terme. « Au départ, les motivations étaient stratégiques. L’on relevait des vols de données dans le cadre de l’espionnage public, entre Etats, industriels, ou autres. De plus en plus, les motivations deviennent financières », indique Emmanuel Gras.  N’oublions pas que les mêmes procédés ont été employés contre un cabinet d’avocat américain du nom de GSMlaw, réputé pour avoir dans sa clientèle de grands nom tel que Donald Trump, Madonna, ou Lady Gaga. De ce côté, les cybercriminels avaient exigé le versement d’une somme de 42 millions de dollars en guise de rançon pour ne pas divulguer les informations confidentielles des clients du cabinet.

Pour la jeune entreprise Alsid, la protection des réseaux des entreprises doit commencer par active Directory. Car en cas d’attaques informatiques, les cybercriminels chercheront en premier lieu à avoir accès et à contrôler le cœur du système c’est-à-dire Active Directory. « Active Directory, rappelle-t-il, est une infrastructure hautement critique qui permet paradoxalement à un cyber-assaillant d’infiltrer l’intégralité d’un réseau très simplement, depuis un seul poste compromis. Véritable trousseau d’accès central, « AD » ère les droits des utilisateurs, les comptes e-mails, l’information liée aux activités ou encore les données financières. Il constitue, dans la majorité des cas, la pierre angulaire de la sécurité en entreprise ». Explique Emmanuel Gras. Il ajoute par ailleurs que le défaut majeur de ce système (Active Directory) n’est nul autre que sa complexité, car, « Plutôt qu’établir une distinction claire entre les administrateurs qui peuvent tout faire et les autres, il attribue plus ou moins des droits parmi des dizaines possibles à chaque utilisateur. Au point que la liste des personnes avec leurs attributions est illisible et que, sans une plateforme comme celle d’Alsid qui monitore les faiblesses de l’AD, il devient impossible pour les équipes de sécurité d’identifier des comportements suspects sur le réseau. ».

L’expert partage une situation vécue dans ce contexte où il a eu l’occasion d’observer de plus près le problème : « Lors d’un audit, nous avons par exemple vu un groupe AD appelé DNSadmin qui attribuait des droits d’accès aux profils en charge du réseau. Parmi eux, la plupart n’étaient pas administrateurs et paraissaient donc inoffensifs. Pourtant, leur groupe leur accordait la possibilité de s’ajouter à d’autres groupes grâce auxquels ils pouvaient cette fois-ci obtenir des droits d’administration sur certains systèmes ». Selon Emmanuel Gras, établir un monitoring de l’activité de utilisateurs c’était pas n’était processus déjà établi. Ce qui signifie, qu’il suffisait qu’un seul fait prendre par une attaque à l’hameçonnage pour que les cybermalveillants puissent accéder à des informations très importantes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Rappelons à toutes fins utiles que durant le mois d’avril dernier, l’entreprise portugaise oeuvrant dans le secteur de l’énergie, EDP, a été frappée par un programme de rançonnage.

La conséquence directe de cette cyberattaque a été le vol de plus de 10 To d’informations sensibles. Le logiciel malveillant utilisé pour accomplir cette tâche est dénommée « Ragnar Locker ». Ce programme de rançonnage possède une fonctionnalité bien particulière. Son utilisateur peut le déployer en le camouflant sous la forme d’une machine virtuelle.

Cet article va aussi vous intéresser : Rançongiciel : Snake, le nouvel ennemi des usines

Sophos, une entreprise spécialisée dans la cybersécurité a identifié 8 étapes d’analyses des premières causes permettant de relier une opération de cybermalveillance au programme Ragnar Locker. Le fournisseur de solutions de sécurité, décris comment ce programme des rançonnages arrive à se camoufler et passer inaperçu. Dans un billet de blog, Sophos nous signifie que : « Lors d’une attaque récemment détectée, le ransomware Ragnar Locker a été déployé dans une machine virtuelle Oracle VirtualBox Windows XP. La charge utile de l’attaque était un programme d’installation de 122 Mo avec une image virtuelle de 282 Mo à l’intérieur, le tout pour cacher un exécutable de ransomware de 49 Ko ». Cela fonctionne bel et bien vu que Energias de Portugal, le géant de l’énergie portugais a été victime de ce logiciel malveillant.  Les cybercriminels avaient alors exigé le paiement d’une rançon s’élevant à 11 millions de dollars, soit 1 580 bitcoins.

Avant cette attaque informatique d’ampleur non négligeable, les pirates informatiques qui utilisent Ragnar Locker, avait pour habitude d’utiliser de connexion passant par le Windows RDP. De la sorte, ils pouvaient compromettre la sécurité du réseau et s’introduire dans le système pour récolter des informations. Pour réussir une intrusion, ces derniers s’octroyaient des privilèges d’administrateurs, avec l’utilisation de certaines en commande et outils tels que GPO et Powershell :  « Dans l’attaque détectée, les acteurs de Ragnar Locker ont utilisé une tâche GPO pour exécuter Microsoft Installer (msiexec.exe), en passant des paramètres pour télécharger et installer silencieusement un package MSI de 122 Mo conçu et non signé à partir d’un serveur Web distant », indique la firme de sécurité informatique.

De façon plus détaillé, il faut noter que « le package malveillant est ainsi articulé autour d’une installation fonctionnelle d’un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant du 5 août 2009) couplé à un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar locker. » explique Dominique Filippone, journaliste. Une fois le packaging recopié dans le répertoire « VirtualAppliances des fichiers programmes x86, ce programme malveillant déploie un exécutable (va.exe), un fichier batch (install.bat) et quelques fichiers support. » Ajoute-il. De son côté le fournisseur de solutions Sophos note ceci : « Le programme d’installation MSI exécute va.exe, qui à son tour exécute le script de commandes install.bat. La première tâche du script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys: ».

Quand le logiciel est définitivement installé dans le système ou le réseau informatique ciblé, la stratégie utilisée par les cybercriminels va consister à désactiver de manière progressive certaines fonctionnalités de notification tel que Windows AutoPlay. Ensuite, procéder à une commande qui va effacer l’ensemble des contenus cachés du terminal ciblé de sorte à empêcher toute tentative de restauration des documents qui ne sont pas chiffré. En outre, le programme servira à recenser les disques durs implantés dans le système ou dans le terminal, tout temps mappant les lecteurs réseaux sur les terminaux physiques de sorte à les configurer, et faciliter leur accès depuis la machine virtuelle. « La machine virtuelle est configurée avec 256 Mo de RAM, 1 CPU, un seul fichier HDD de 299 Mo micro.vdi et une carte réseau Intel PRO / 1000 connectée au NAT », précisait Sophos. À partir de là, les cybercriminels peuvent procéder au chiffrement des fichiers, donc à la prise d’otages du système. « Étant donné que l’application de rançongiciel vrun.exe s’exécute à l’intérieur de la machine invitée virtuelle, son processus et ses comportements peuvent s’exécuter sans entrave, car ils sont hors de portée des logiciels de sécurité sur la machine hôte physique. Les données sur les disques et lecteurs accessibles sur la machine physique sont attaquées par le processus légitime VboxHeadless.exe, le logiciel de virtualisation VirtualBox », explique la société de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les systèmes informatiques isolées ciblés par le malware Ramsay

Selon les spécialistes de la société de cybersécurité américaine Eset, le programme malveillant Ramsay serait aujourd’hui très actif dans le monde.

Une étude menée par ces chercheurs ont prouvé que plusieurs instances de ce malware s’en prennent aux systèmes d’information qui sont déconnectés des réseaux classiques, en clair des systèmes informatiques isolés.

Cet article va aussi vous intéresser : Un programme malveillant inamovible sur un modèle de smartphone subventionné par l’État Américain

Apparemment, des composants de ce programme malveillant auraient permis d’implanter des scanners de réseau sur des machines afin de découvrir les sous-réseaux auxquels elles étaient connectées dans le but de les compromettre, en particulier ceux qui étaient vulnérables à la faille Eternalblue. « …certains composants de Ramsay ont implémenté un scanner de réseau destiné à la découverte de machines non connectés à Internet (Air Gap) mais connues dans le sous-réseau de l’hôte compromis qui sont sensibles à la vulnérabilité EternalBlue SMBv1. Ces informations seront contenues dans toutes les informations enregistrées que Ramsay recueille et peuvent être exploitées par les opérateurs afin d’effectuer ultérieurement des mouvements latéraux sur le réseau via un canal différent » expliquent les chercheurs de la firme de sécurité.

Ce rapport des chercheurs de ESET, met en évidence en quelque chose qui est beaucoup méconnue : le fait que même les système informatique d’entreprises déconnectés du réseau sont aussi ciblés par les cybercriminels, au même titre que ce qui fonctionnent habituellement sur les réseaux publics. L’outil utilisé dans le contexte présent est le programme Ramsay. Sa fonctionnalité particulière lui permet d’analyser, d’infiltrer le réseau isolé, identifier et collecter toutes les données contenues hébergées dans le système. ESET, dans un billet de blog a notifié qu’il existe plusieurs variantes de ce programme en circulation : « Nous avons initialement trouvé une instance de Ramsay dans VirusTotal. Cet échantillon a été téléchargé du Japon et nous a conduits à la découverte d’autres composants et versions du framework, ainsi que des preuves substantielles pour conclure que ce framework est à un stade de développement, avec ses vecteurs de livraison toujours en cours de réglage fin ».

En outre, les chercheurs de ESET n’ont pas réussi à encore identifier les véritables cibles de Ramsay et ses variantes. Cependant, quelques victimes auraient été identifiées par la firme de cybersécurité. Sur ce point, elle préfère ne révéler aucun nom. Pour rassurer, ESET a signifié avoir mis à jour les vecteurs d’attaques utilisés par Ramsay et ses variantes. Parmis lesquels, la faille de sécurité CVE-2017-0199 qui permettait aux pirates informatiques d’injecter un programme de type Visual Basic malveillant dans un dossier ce qui permettait de camoufler Ramsay dans une image en format JPG. La seconde faille, permet d’usurper les privilèges d’un installeur de type 7zip. Et la troisième faille serait la vulnérabilité CVE-2017-11882. Selon les explications des chercheurs d’Eset, les variantes de Ramsay auraient pu être calées a des périodes précises tels que :

– le 24 septembre 2019, sans rootkit

– 8 mars 2020, avec rootkit et spreader

– 27 mars 2020, avec rootkit et sans spreader

« L’analyse des différents horodatages de compilation trouvés sur différents composants implique que ce framework est en cours de développement depuis fin 2019, avec la possibilité d’avoir actuellement deux versions maintenues sur mesure en fonction de la configuration de différentes cibles », précise la firme de cybersécurité.

À propos des mécanismes d’attaques basés sur Ramsay et leur nature, ESET indique : « L’architecture de Ramsay fournit une série de capacités de surveillance via un mécanisme de journalisation destiné à aider les opérateurs en fournissant un flux d’informations exploitables pour mener des actions d’exfiltration, de contrôle et de mouvement latéral, ainsi qu’en fournissant des statistiques comportementales et système globales de chaque système compromis ».

La société de sécurité explique que le programme Ramsay, au vu de ses composantes, aurait subi plusieurs modifications au fil des années. En étudiant les différents vecteurs d’attaque, la spécialiste en met en évidence le fait que les cybercriminels sont dans une approche plurielle, permettant d’essayer plusieurs éventualités tout en restant prudent. « Sur la base des différentes instances du cadre trouvées, Ramsay a traversé différentes étapes de développement, dénotant une progression croissante du nombre et de la complexité de ses capacités. Les développeurs en charge des vecteurs d’attaque semblent essayer différentes approches telles que les anciens exploits pour les vulnérabilités Word à partir de 2017 ainsi que le déploiement de trojans, indique ESET.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciel : Snake, le nouvel ennemi des usines

Les experts de la sécurité informatique ont découvert récemment un virus informatique pouvant de s’en prendre à des systèmes informatiques des structures industrielles et de les mettre hors d’état de fonctionner.

Ce qui est, il faut l’avouer quelque chose de nouveau dans le milieu de la cybersécurité. Les rançongiciels classiques se contentent de chiffrer les données des système d’informations, qu’ils prennent en otage, ce qui permet à leurs éditeurs d’exiger le paiement d’une certaine rançon aux victimes en échange des clés de déchiffrement. On se rappelle qu’en 2019, le nombre de ces programmes qui ont été utilisés dans les cyberattaques en pratiquement doublé. Faisant de l’année en question « l’année des ransomwares » selon les experts.

Cet article va aussi vous intéresser : Attaque au rançongiciel : une entreprise polynésienne s’est fait surprendre

Cependant, Snake, c’est comme ça qu’il a été dénommé, est un programme un peu à part. Ce n’est pas un rançongiciel classique car lui s’attaque au réseau industriel. Il a été découvert le 7 janvier suite à une publication d’un chercheur en sécurité informatique de chez SentinelOne, une firme éditrice de solutions de cybersécurité, du nom de Vitali Kremez sur son compte Twitter. Selon ces dernier, Snake serait capable d’endommager le système informatique des sites industriels et cela au niveau des opérations critiques.

Selon les données fournies par FireEyes, le programme malveillant est en mesure de mettre en échec plus de 10 % des services utilisés de nos jours dans le secteur de l’industrie. On parle ici d’une centaine d’outils de gestion. Cela montre l’ampleur du problème. David Grout, expert de la cybersécurité de chez FireEyes met en garde sur la dangerosité de ce nouveau programme. Il précise que ce sont bel et bien des logiciels qui sont vulnérables face à lui, et non de simples protocoles. « Snakehose [le nom donné par FireEye à ce logiciel malveillant, ndlr] n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services d’équipements industriels, comme les interfaces hommes-machines ou les logiciels de gestion de logs et de sauvegarde (historians) », souligna notre expert.

Mais il semblerait dans la pratique que ce programme Snake ne soit pas véritablement inédit, car selon l’expert FireEyes : « Snakehose n’est pas le premier ransomwares à viser les réseaux industriels, poursuit-il. Il y a eu LockerGoga en 2019 [qui a infecté Altran et le producteur norvégien d’aluminium Norsk Hydro, respectivement en janvier et en mars, ndlr]. Mais la liste des services qu’est capable de « tuer » Snakehose est bien plus importante ! ». Pour résumer, il n’est pas du tout original comme programme malveillant, il semble être le plus dangereux de sa catégorie.

L’apparition d’un tel programme surtout en ces périodes de troubles sanitaires démontré que l’appât du gain des pirates n’en démord pas pour autant. Et le secteur industriel qui semble cibler cette fois-ci, est dans une position très inconfortable. « L’arrivée de ransomwares comme Snake reflète l’appât du gain de la part des groupes cybermalveillants, qui se sont rendu compte que les victimes industrielles avaient tendance à payer plus rapidement que d’autres (collectivités territoriales, institutions financières…) pour repartir immédiatement en production. » reprend David Grout.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage