Archives par mot-clé : logiciel malveillant

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les logiciels malveillants plus innovants en 2021

Dans un rapport fourni par un spécialiste de la sécurité informatique Nuspire, il a été constaté une augmentation assez fulgurante des logiciels malveillants.

Cela dans un contexte où les attaques des cybercriminels deviennent de plus en plus impitoyable. En effet il a été observé aussi dans la même lancée que les pirates informatiques en tendance à s’en prendre aux structures qui se trouvent surcharger en terme de responsabilités à combler. Notamment le secteur de la santé et de l’éducation. Ledit rapport à préciser une en croissance si on peut le dire ainsi de 128 pourcents au 3e trimestre de 2020 par rapport au second trimestre. Une augmentation qui constitue plus de 43 000 logiciels malveillants différents qui furent détectés par jour.

Le rapport des montres aussi, que les acteurs de la cybercriminalité sont devenus de plus en plus impitoyables quant à leur choix de cibles. « Tout au long du troisième trimestre, les pirates informatiques ont déplacé leur attention des réseaux domestiques vers des entités publiques surchargées, dont le secteur de l’éducation. », explique le rapport de Nuspire.

Cet article va aussi vous intéresser : La pandémie à coronavirus et les stratégies de sécurité dans une entreprise

Dans les prévisions fournies par la société allemande d’édition de logiciels informatiques pour la sécurité G DATA CyberDefense, en 2021, les logiciels malveillants utilisés pour cibler les mobiles seront de plus en plus innovant. Ce sont des malwares qui se présenteront comme des mises à jour de logiciels beaucoup utilisés par les utilisateurs dans mobile. « Dans ce cas, les applications se présentent initialement comme des applications légitimes, ce qui explique pourquoi elles sont souvent qualifiées de légitimes par certaines solutions de sécurité. Ce n’est qu’après un certain nombre de mises à jour que les logiciels malveillants s’installent sur le système sans être remarqués, avec toutes les conséquences que cela entraîne. » précisant la société allemande de cybersecurité.

Pour ce qui concerne en l’ingénierie sociale, la pratique va aussi s’améliorer comme les autres.

Dans une étude fournie par Bromium, une société spécialisée dans la virtualisation, et commenté par le maître de conférence en criminologie à l’université de Surrey, docteur Mike McGuire, il a été observé plusieurs tactiques utilisées par les cybermalveillants pour attirer l’attention des internautes. Les réseaux sociaux étant leurs en leur champ de prédilection. Le même rapport explique que les cybercriminels arrivent à générer plus de 3 milliards de dollars en utilisant seulement l’ingénierie sociale. Bien que cela soit dans un contexte assez nouveau, il a possible pour les cybercriminels de gagner plus de 1500 milliards de dollars comme revenu chaque année. « Il s’agit d’une estimation prudente, basée uniquement sur des données tirées de cinq des variétés les plus en vue et les plus lucratives de cybercrimes générant des revenus. » note le rapport.

Selon G DATA CyberDefense, au regard de l’amélioration du secteur de la cybersecurité, les pirates informatiques cherche à améliorer leur approche de l’ingénierie sociale dans le but de la rendre plus performante.

C’est pour cela que les organisations sont invités à prendre les mesures idoines pour se protéger et protéger leur système informatique ainsi que leurs collaborateurs.

Du côté des objets connectés, la tendance de la cybercriminalité connaîtra aussi une évolution. En effet, avec la croissance de l’internet des objets dans tous les secteurs d’activité, les organisations seront obligées d’améliorer leur sécurité informatique et pour cause, les activités de cybermalveillance dans ce secteur se sont répandu beaucoup plus rapidement que dans les autres domaines. Il faut reconnaître que l’Internet des objets ne s’est jamais présenté comme un espace assez sécuritaire pour ce qui est de la sécurité bien sûr. Et depuis le tout début, les attaques informatiques ont toujours l’avantage sur les utilisateurs. « Si un appareil n’est pas surveillé en permanence et n’est pas considéré comme faisant partie de l’infrastructure du réseau, il faut y remédier », mettait en garde de la société de sécurité allemande. En clair il faudra observer une augmentation notoire des attaques visant les dispositifs IdO. « La convergence des technologies de l’information et des technologies opérationnelles rend les environnements plus vulnérables. Ces environnements fonctionnent souvent sur des systèmes existants pour lesquels il n’existe pas de correctifs ou qui ne sont tout simplement pas installés. Les organisations qui utilisent l’IdO seraient également bien avisées d’élaborer une feuille de route intégrale sur la cybersécurité et de procéder à des audits de sécurité réguliers », recommande alors G DATA CyberDefense.

Selon G DATA CyberDefense, les organisations peuvent mener une vérification pour savoir si elles sont suffisamment organisées préparer pour faire face aux cyberattaques. Au cas où elles peuvent commencer dès maintenant, à prendre les mesures qui s’imposent. « Il est important que le personnel manipule correctement les systèmes IdO et soit conscient des risques. Enfin, la plupart des cyberincidents sont causés par des actions humaines », conclut la société allemande.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comprendre les cyberattaques et les logiciels malveillants

Selon une statistique établie anonymement en se fondant sur plusieurs demandes adressées depuis le portail Threat Intelligence de la société Russe de cyberdéfense Kaspersky, environ 72 %, soit les trois quarts des fichiers malveillants qui ont été analysés ces derniers temps se catégorise dans 3 secteurs de la cybermalveillance particuliers que sont :

– Les chevaux de Troie (Trojan)

– Les portes dérobées ou backdoors

– Les injecteurs de programmes malveillants (Dropper)

Grâce à ces statistiques, il a été aussi démontré que les programmes malveillants sur lesquels les spécialistes de la sécurité informatique ont tendance à passer plus de temps sont ceux qui sont les plus répandus.

Comme nous le savons, le point de départ d’une enquête sur une cyberattaque et bien sur la détection d’activité jugée malveillante. Pour être en mesure de déployer les mesures nécessaires pour répondre aux problèmes posés par un incident informatique, les spécialistes de la cybersécurité doivent être en mesure :

– D’identifier la cible visée par l’attaque

– L’origine d’un programme malveillant

– La popularité de ce programme

Ceci permet aux analystes le pouvoir réagir efficacement. Le portail portant sur les menaces informatiques mis à la disposition par Kaspersky aux professionnels la cybersécurité, surtout au niveau de l’analyse des incidents informatique. De ce fait plusieurs demandes sont formulées à la société russe quotidiennement dans le but obtenir de l’aide sur des problèmes d’ordre sécuritaire. Portant régulièrement sur des objets malveillants, dans le traitement semble un peu plus délicat.

Dans la majorité des cas, les incidents qui sont les plus proposés ou soumis à l’appréciation des experts de Kaspersky régulièrement sur :

– Les portes dérobées à hauteur de 24 %

– Les chevaux de Troie dans 25 % des cas

– Les acteurs de programme malveillant pour 23 pourcents des demandes

Ces programmes malveillants sont généralement utilisés par leurs éditeurs pour prendre le contrôle soit des ordinateurs de leur cible à distance comme c’est le cas avec les chevaux de Troie et les portes dérobées, ou de pouvoir installer à l’insu de ce dernier, des objets pirates dans le cas des Droppers.

De plus, les chevaux de Troie généralement perçus par plusieurs d’études comme étant les logiciels malveillants les plus répandus au monde. C’est une catégorie très utilisée et appréciée par les cybercriminels. Sûrement à cause des fonctionnalités qu’ils leurs offrent. Le porte dérobée et les injecteurs de fichiers malveillants sont de leur côté assez peu connus, donc moins répandus. Ils ne constituent respectivement que 3 % des fichiers malveillants généralement bloqués par les antivirus fournis par Kaspersky.

On peut comprendre sur résultat en se référant au fait que généralement les spécialistes on tendance à s’intéresser à la cible finale d’une attaque informatique. Alors que dans une majorité des cas, les logiciels de protection des terminaux ont tendance à les bloquer le plus rapidement possible. Par exemple on sait que le produit de sécurité de façon concrète empêche l’utilisateur d’ouvrir des mails corrompus, ce qui empêche généralement certains programmes malveillants de pouvoir arriver à leurs fins. Du côté des injecteurs de programmes, ils ne sont reconnus que lorsque les chercheurs arrivent à identifier tous les composants qui le composent ce qui n’est pas une tâche mais à réaliser.

En outre, la popularité d’un programme malveillant dépend aussi de l’intérêt porté généralement aux incidents informatique dans lequel il a joué un rôle important et l’obligation qui est souvent imposé aux chercheurs de les analyser de manière plus détaillée. Prenons par exemple le cas du malware Emotet, qui a la suite de plusieurs articles de presse à attiser l’intérêt des chercheurs en cybersécurité. D’un autre côté, suite à plusieurs failles de sécurité portant sur des distributions Linux et Android, les portes dérobées ont été passées plusieurs fois au crible par les spécialistes dans le but de mieux les l’appréhender. Et cela est le cas pour plusieurs failles affectant Microsoft Windows.

« Nous avons remarqué que le nombre de demandes transmises au Kaspersky Threat Intelligence Portal pour vérifier des virus ou des éléments de code qui s’insèrent dans d’autres programmes, est extrêmement faible, à savoir moins de 1 %. Toutefois, c’est traditionnellement l’une des menaces les plus souvent détectées par les solutions de protection, détection et réponse aux incidents (EDR). Ce type de menace se réplique et déploie son code dans d’autres fichiers, ce qui peut entraîner l’apparition d’un grand nombre de fichiers malveillants dans le système infecté. Comme nous l’avons constaté, les virus sont rarement intéressants pour les chercheurs, probablement parce qu’ils manquent d’originalité par rapport aux autres menaces », détaille Denis Parinov, directeur par intérim de la détection heuristique et de la surveillance des menaces chez la firme russe de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Et si les employés devenaient des chevaux de Troie ?

Dans le domaine de la cybersécurité, par ricochet de la cybercriminalité, un cheval de Troie avec un logiciel malveillant.

Ce logiciel se cache dans le système informatique ciblé en prenant la forme d’une application normale et légitime. Et cela permet à ses éditeurs de siphonner des informations sur les terminaux des propriétaires du système.

Cet article va aussi vous intéresser : Comment utiliser un cheval de Troie ?

Avec le déconfinement qui s’annonce peu à peu, les employés retourneront ainsi au bureau. Pour ceux qui étaient déployés en télétravail. Il faudra rétablir une connexion afin de pouvoir transférer les informations et dossiers professionnels, souvent confidentiels, produits ou gérés durant le confinement vers le système informatique de l’entreprise. Et cela ne se fera pas sans risque. Car il faut l’avouer, les cybercriminels attendent ce moment avec impatience.

Comme le dit l’adage, « un mal peut en cacher un autre ». Dans notre contexte on dira qu’un virus peut en cacher un autre. En effet, si le confinement a favorisé l’explosion de la cybermalveillance sur tous les plans, il y a une chose qui n’est pas suffisamment débattue par les spécialistes de la cybersécurité. Le déconfinement. Si nous prenons en compte le fait que les cybermalveillances ont été plus que prolixes durant la période du télétravail généralisé à cause du confinement, nous devons savoir une chose très importante, que peu d’experts en sécurité nierons : toutes les attaques informatiques ou actions en cybermalveillance ne se sont pas encore manifester de manière visible. En d’autres termes, il est fort probable, que les pirates informatiques n’aient pas encore déclenché certaines procédures qu’ils ont déjà initié. Des procédures qui ont été initié en ciblant les télétravailleurs en particulier. Pas dans le but de dérober des informations ou de saboter le travail à distance, mais des procédures particulières qui visent à infecter les terminaux utilisés par ces travailleurs à distance.

Il est clair que l’objectif final des cybercriminels ne sont pas les télétravailleurs en eux même, mais les systèmes informatiques de leurs entreprises. « Les équipes en charge de la protection du parc informatique ont été un peu plus aveugles que d’habitude. Avec le déconfinement, les services vont avoir à gérer un retour d’ordinateurs, parfois jusqu’à plusieurs milliers, qui ont pu être exposés à peu près tout et n’importe quoi durant des semaines » averti Gérôme Billois, un expert en cybersécurité. Une inquiétude qui est partagée. Michel Van Den Berghe, le directeur général d’Orange mettait en évidence cet aspect. « Notre crainte, c’est qu’au moment du retour sur site, des codes malveillants s’exécutent, en s’apercevant que l’ordinateur n’est plus connecté à un réseau domestique mais à celui de l’entreprise. ».

En clair, l’idée ici est d’utiliser pour les cybercriminels, les collaborateurs des différentes entreprises comme des chevaux de Troie. Certains spécialistes prennent au sérieux cette menace. Et l’inquiétude se fait presque sentir. « Lorsqu’on est un cybercriminel ou un criminel tout court, la moindre opportunité est bonne à prendre pour tenter de se faire de l’argent. A cause de la crise sanitaire, les entreprises ont dû se mettre de manière contrainte et forcée à fonctionner en télétravail, ce qui crée de fait une opportunité pour les pirates » explique Baptiste Robert, un spécialiste de la cyberdéfense.

Doit-on craindre une nouvelle pandémie ? Mais cette fois-ci virtuelle ? C’est ce qui laisse transparaître en tenant compte des avis des différents experts. Le déploiement un peu précipité du travail à distance, a créé un cadre assez propice pour la mise en place d’une campagne post-confinement qui fera plus de dégâts. Concernant la discipline des employés en entreprise, en imaginant les possibles laisser-aller au domicile, il est tout simplement plausible qu’une réalité pareil se forme. Effectivement, le cadre professionnel présente plus de sécurité sur le plan matériel que sur le plan technique. Au sein de l’entreprise, l’erreur humaine peut être vite rattrapé. Mais dans un cadre personnel comme au domicile, plusieurs réalités ce déclare. « Dans l’entreprise, vous êtes comme dans un château fort. Mais lorsque vous êtes à la maison, le niveau de protection est tout de suite beaucoup moins élevé » notait Michel Van Den Berghe.

En définitive, la place de l’employé lors du retour doit être pris avec sérieux et discipline. Les équipes IT devront se démener pour que la prophétie du déconfinement soit faussée. Et pour cela, le contrôle rigoureux des collaborateurs au bureau est le premier checkpoint.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage