Archives par mot-clé : virus

Chevaux de Troie, Botnet… Quelles sont les menaces les plus imposante en cette fin d’année 2021 ?

Dans une récente étude réalisé par la société de sécurité informatique CheckPoint, il a été mis en évidence un ensemble de menaces informatiques déjà connu qui continue de croître.

Dans son dernier classement qui a été publié durant le mois de novembre 2021, la menaces informatiques la plus dangereuse et persistante à l’heure actuelle n’est rien d’autre que Trickbot. Il serait à l’heure actuelle, la menace informatique la plus répandue à travers le monde. Selon les spécialistes de checkpoint, près de 5 % des organisations dans le monde entier ont été où sont touchés par ce Bot.

Juste derrière, c’est le célébrissime Emotet qui emboîte le talon. Après avoir disparu pendant un certain moment, il a refait son apparition combien de temps l’une des pires nuisances dans le secteur cyber. Il a été observé essentiellement dans le secteur de la santé, de l’enseignement et de la recherche.

Selon la société de sécurité informatique : « malgré les efforts considérables déployés par Europol et de nombreux organismes chargés de faire respecter la loi au début de l’année pour faire tomber Emotet, il a été confirmé que le célèbre botnet avait repris du service en novembre et se classait déjà au septième rang des logiciels malveillants les plus utilisés ». En d’autres termes, ce programme malveillant est à prendre au sérieux et à surveiller de près.

Trickbot quant à lui est en tête de classement depuis 6 ans maintenant. On a déjà observé son développement dans le nouveau variant de Emotet, qui a réussi lui à s’infiltrer dans certaines machines déjà effectué par le premier. C’est des programmes malveillants sont suivi de prépare un autre très dangereux : SmokeLoader.

Que sont exactement ces programmes malveillants ?

1 – Trickbot est un programme malveillant à double fonction. C’est d’abord un botnet dominant. C’est à dire un programme capable d’utiliser la puissance de calcul des terminaux qu’ils effecteurs dans le but de réaliser des actions de cryptage, de décodage ou de minage.

En plus de cela ça aussi un cheval de Troie bancaire qui est constamment mis à jour dans le but de lui accorder beaucoup plus de capacité et de fonction. Ce programme malveillant est très polyvalent et peut-être distribuer de différentes manières. C’est le nec plus ultra dans une certaine manière des programmes malveillants.

2 – Emotet est un cheval de Troie très avancé capable de se propager de façon autonome. Il est utilisé surtout pour cibler les systèmes informatiques bancaires. Même si à plusieurs reprises il a été observé dans plusieurs types de campagne malveillantes.

Les opérateurs derrière se programme informatique utilisent plusieurs types de technique dans le but de continuer à propager leur logiciel mais aussi à l’exploiter le plus finement possible. On sait qu’il est capable de se proposer à travers des courriers électroniques qui ne sont pas forcément utilisées dans le cadre d’hameçonnage.

3 – SmokeLoader est lui aussi un Cheval de Troie. Lorsqu’il est infecté un ordinateur, il donne la possibilité à son opérateur de pouvoir contrôler ce terminal à distance. Le pirate informatique donc la possibilité de pouvoir télécharger des informations à distance, télécharger et installer des logiciels sur cet ordinateur, bien sûr des logiciels malveillants dans le contexte. Il donne aussi la possibilité à son opérateur de déterminer la position géographique sa victime et même de voler des mots de passe de client FTP, de service de messagerie instantanée, de navigateurs, des services de poker en ligne et de client de messagerie électronique.

Ce programme informatique offre aussi à son utilisateur de contourner l’UAC ainsi que plusieurs types de HIPS. Il offre aussi la capacité de désactiver à distance les solutions antivirus. Par ailleurs, il peut se propager à l’instar des deux premiers de plusieurs manières. Par exemple des kits d’exploitation, des campagnes et de spams….

Selon les chercheurs de checkpoint, le secteur d’activité le plus touché par ces programmes malveillants et les secteurs de l’enseignement et de la recherche. Et cela dans le monde entier. Au-delà du secteur de l’enseignement et de la recherche en a plein à observer d’autres domaines tel que ceux qui sont classifiés dans le secteur de service Vitaux qu’est-ce que la télécommunication, l’Internet des objets et le traitement des gaz et de l’eau.

« En outre, Web Servers Malveillant URL Directory Traversal reste la vulnérabilité la plus couramment exploitée : elle a impacté 44 % des organisations dans le monde. Elle est suivie par Web Server Exposed Git Repository Information Disclosure qui affecte 43,7 % des organisations dans le monde. HTTP Remote Code Execution reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42 %. », explique CheckPoint.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Blackcat : le nouveau rançongiciel qui s’imposent

Depuis un certain moment, un programme informatique attire l’attention des professionnels de la cybersécurité.

Il s’agit notamment du rançongiciel Blackcat.

Ce nouveau programme de rançon fait automatiquement penser au groupe Blackmatter et REvil qui ont récemment tirer leur révérence (probablement) à cause de la pression mis par les autorités et les forces de l’ordre américaine.

Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène

En tant que rançongiciels, le mode opératoire est un classique. En effet les opérateurs de Blackcat infectent les systèmes et réseaux informatiques de leur cible, ensuite ils chiffrent les données pour exiger le paiement d’une rançon. Dans la mesure où l’organisation attaquée refuse de céder au chantage, les pirates informatiques menacent de publier les données.

Selon plusieurs observations, les cybercriminels qui sont derrière Blackcat sont en mouvement depuis bien longtemps. S’en prenant à plusieurs organisations dans différents pays.

« Les cybergangs derrière les ransomwares BlackMatter et REvil ont été mis à terre par des actions de police et de justice coordonnées au niveau international. Cela ne signifie pas pour autant que les opérations criminelles œuvrant par le biais de rançongiciels vont stopper. Car malheureusement, d’autres ransomwares pris en main par d’autres opérateurs malveillants prennent la relève, la nature ayant comme toujours horreur du vide. Pour le combler, BlackCat semble en effet bien placé pour prendre la relève. Très bien même, au point de pouvoir être considéré comme le ransomware le plus sophistiqué de l’année doté de capacités de personnalisation étendues. J’ai analysé un autre échantillon il n’y a pas si longtemps, mais je n’ai pas pu en parler en raison de la confidentialité du client… il utilise AES128-CTR et RSA-2048, Filemarker 19 47 B7 4D à EOF, une clé cryptée, JSON avec certains paramètres. Ransomware très sophistiqué », a alerté Michael Gillespie, un consultant en cybersécurité qui le concepteur à l’origine du service ID Ransomware.

Selon le spécialiste en question, le programme malveillant Blackcat a été écrit dans un langage de programmation peu utilisé pour la conception de logiciels malveillants. Il s’agit de langage Rust. Cependant depuis un certain moment, l’utilisation de ce langage de programmation est en pleine montée.  Car selon les spécialistes il est assez fiable et procure beaucoup plus de sécurité. « Rust est un langage multiparadigmes dont un des objectifs principaux est de concilier une ergonomie de haut-niveau avec une gestion fine de la mémoire », précise l’Agence nationale de sécurité des systèmes d’information dans un guide qu’il a publié sur les applications sécurisées conçu grâce au langage Rust

On m’estime déjà que le montant des rançons extorquer par Blackcat peut s’évaluer hauteur de 3 millions de dollars.

La première fois que ce programme malveillant a été détecté, c’était dans les environs de novembre 2021 précisément le 21. Ce sont des chercheurs en cybersécurité de l’organisation MalwareHunterTeam qu’ils ont détecté. Les rançons qui sont exigées vont entre 400000 dollars américains à 3 million de dollars. C’est un programme qui est proposé sur plusieurs forum de pirate informatique dans le contexte du Ransomware as a service. C’est-à-dire, proposé son logiciel malveillant à d’autres opérateurs Informatiques malveillants avec un suivi pour permettre au client de pouvoir l’exploiter dans des actions de cybercriminalité en échange d’une rémunération.

Le rançongiciel BlackCat peut être configuré selon 4 types de chiffrement différents qui sont :

– le chiffrement total ;

– le chiffrement rapide ;

– DotPattern ;

– le chiffre automatique.

« En mode automatique, le logiciel détecte la présence du support matériel AES (existe dans tous les processeurs modernes) et l’utilise. S’il n’y a pas de support AES, le logiciel crypte les fichiers ChaCha20 », exploiter les opérateurs malveillants de Black cat sur un forum du Dark Web. « Chaque exécutable du ransomware ALPHV comprend une configuration JSON qui permet la personnalisation des extensions, les notes de rançon, la façon dont les données seront cryptées, les dossiers/fichiers/extensions exclus et les services et processus à terminer automatiquement », souligne le Bleeping Computer dans ses investigations.

De plus le programme malveillant dispose d’un programme de protection qui permet aussi des criminels de ne pas être tracé lors des transactions avec leurs victimes. Pour cela ils ont développé une commande par Token. « Ce jeton d’accès est utilisé pour créer la clé d’accès nécessaire pour entrer dans un chat de négociation sur le site de paiement Tor du gang de ransomware. Comme ce jeton n’est pas inclus dans l’échantillon de malware, même s’il est téléchargé sur un site d’analyse de malware, les chercheurs ne l’utiliseront pas pour accéder à un site de négociation sans la demande de rançon de l’attaque réelle », décrit Bleeping Computer.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Android : les menaces dont il faut se méfier

Les appareils tournant sous Android représentent la majorité des outils informatiques en circulation aujourd’hui.

Sur les 7 milliards de smartphones en circulation dans le monde entier, plus de 76 % d’entre eux fonctionne grâce sous Android. Aujourd’hui sans nul doute, les smartphones et les tablettes ont gagné en puissance et leur utilisation continue d’augmenter. Que ce soit dans le secteur professionnel ou pour l’utilisation personnelle, les consommateurs ont beaucoup plus tendance à se tourner vers ces appareils électroniques.

Cependant, cette multiplication des appareils sous Android l’expose à la fougue des cybercriminels. C’est d’ailleurs pour cela, que parallèlement à l’augmentation de l’utilisation des appareils sous Android, on observe aussi une augmentation des menaces qui visent ces mêmes appareils. En effet il faut être réaliste et ne pas être négligent. Votre tablette et votre smartphone sont susceptibles d’être attaqués. Selon une étude des chercheurs de l’Université de Cambridge, 87 % des smartphones Android sont vulnérables face à des attaques informatiques. De plus selon Zimperium Labs dans un rapport publié en début de l’année 2021, 95 % des smartphones Android peuvent-être pirater grâce à un simple texto.

Bien sûr si IOS n’est pas aussi exempt de reproches de la même sorte. Par ailleurs il faut préciser que durant le mois de septembre dernier, il avait été retiré de Appstore, près de 40 applications qui était potentiellement infectées par un programme malveillant du nom de « XCodeGhost ». Comme pour dire que tous les smartphones peu importe le système d’exploitation sont de près ou de loin concernés par cette menace imminente et persistante.

Dans cet article, nous allons vous citez quelques menaces connues les plus récurrentes et les plus dangereuses.

On fait allusion ici à des programmes malveillants qui affectent typiquement les appareils mobiles. Comme nous l’avons dit plus haut, peut importe le système d’exploitation, les cybercriminels savent exactement comment faire pour exploiter les failles de sécurité sur les téléphones mobiles intelligents.

Parmi lesquels on peut citer :

Les malwares bancaire : depuis 2015, on observe une explosion de l’utilisation des programmes malveillants bancaires on parle de 1,6 millions d’installables de ce genre de logiciel malveillant pour le troisième trimestre de l’année 2015. Ils sont en majorité des chevaux de trois destinées à piéger les smartphones et les tablettes pour permettre d’exfiltrer plusieurs données importantes tel que les identifiants de connexion et d’autres informations bancaires. « Au 3e trimestre 2015, les chevaux de Troie bancaires mobiles constituaient la menace enregistrant la croissance la plus rapide en circulation. », avait expliqué Kaspersky, la société de cybersécurité dans un billet de blog

Ransomware mobiles : ce type de logiciel malveillant, bien que l’opinion publique le croit, n’est pas exclusivement dirigé vers les ordinateurs. Avec l’expansion des smartphones et la performance de ces derniers qui n’a cessé de croître d’année en année, il est devenu possible le pouvoir infecté ces derniers et chiffrer les données à distance. Le processus classique des rançongiciels.

– Les logiciels espions : il en existe de toutes sortes adapté à n’importe quel type de système. Les logiciels espions sont très courants sur Android. Le plus souvent, ces derniers se cachent derrière des applications légitime pour passer inaperçu. Une fois l’installation effectuée totalement, ils peuvent permettre à leurs opérateurs de pouvoir surveiller l’ensemble des activités de l’appareil contaminé. Il peut aussi permettre de voler des données. Il existe aussi certains logiciels espions généralement fait la une de l’actualité quelques « Pegasus », Le célèbre spyware de l’entreprise israélienne, NSO Group. Aujourd’hui l’utilisation des logiciels espions est assez multiple.

Les logiciels malveillants par SMS : comme l’explique la société de sécurité informatique Kaspersky, il peut arriver dans certaines circonstances que la pirate informatique cherche à utiliser les SMS pour pirater un smartphone Android. Cette pratique se fonde sur l’utilisation d’une faille de sécurité présente dans la bibliothèque multimédia Android connu sous la dénomination de Stagefright. Grâce à cette vulnérabilité, les cybercriminels ont réussit à distribuer des programmes malveillants. Il leur suffit juste d’envoyer un SMS à la personne ciblée. Et lorsque ces derniers n’ouvraient pas le SMS et n’accusait pas réception, le programme malveillant qui est contenu dans le message texte est automatiquement diffusé dans le smartphone. Ce qui permettait aux pirates informatiques d’avoir un large accès au contenu de cet appareil mobile.

– Les Adware : les pirates informatiques peuvent aussi utiliser les publicités malveillantes pour effectuer les appareils sous Android. Pour cela, il suffit juste que l’utilisateur clique au mauvais endroit et au mauvais moment.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comment appréhender la gestion des risques avant, pendant et après l’attaque informatique

On observe de plus en plus d’attaques informatiques beaucoup trop sophistiquées.

Les cybercriminels sont très bien organisés, et savent parfaitement comment prendre leur temps pour donner beaucoup plus d’impact lors de leurs opérations.  En plus de cela ils démontrent une persistance assez particulière. Ils peuvent rester inactif pendant plusieurs mois dans un système informatique juste pour attendre le moment opportun. Tout en offrant la possibilité de vendre l’accès qu’ils ont à un réseau qu’ils ont d’ailleurs réussi à infiltrer. Un accès qui est une marchandise prisée sur le Dark web.

Cet article va aussi vous intéresser : Les entreprises sont de plus en plus confrontées à des attaques sophistiquées

« Dans certains cas, l’attaque par ransomware, qui survient une fois le réseau contrôlé, peut servir à dissimuler une attaque par une autre. Nous avons observé que les campagnes de phishing ont été plus nombreuses en 2021 et souvent en lien avec l’actualité politique, économique et sociale, comme la crise sanitaire. Les attaques par ransomwares se sont industrialisées (on achète un ransomware « sur étagère » et on l’utilise), les pratiques comme le social engineering (utilisation des vrais faux-profiles pour duper les victimes) ainsi que les attaques zero-day sont également en croissance. », note Mohamed Beghdadi, Directeur Business Line SOC, Hub One

Dans une certaine mesure le fait que les attaques informatiques soient devenues plus complexes et plus diverses, favorise la prise de conscience des entreprises face aux enjeux des secteurs informatiques. Mais, beaucoup d’entreprises sont encore au stade où elles attendent généralement être victime d’une attaque informatique pour se décider à s’organiser. Leur attitude reste malheureusement trop réactive. Pourtant la cybersécurité doit d’être perçue comme une exigence tu fais appel à l’anticipation et à la prévention

« Il faut faire évoluer ce paradigme et les inciter à réaliser une cartographie précise des risques encourus pour mettre en place les process et les solutions adéquates (aligner sa posture sécurité avec ses objectifs commerciaux). », souligne Mohamed Beghdadi.

Un autre point important à soulever, la cybersécurité est perçue malheureusement par beaucoup comment quelque chose de relativement coûteuse. C’est d’ailleurs pour cette raison, les entreprises hésitent outardes à développer les moyens nécessaires pour améliorer leur protection. C’est d’ailleurs pour cela qu’il faut les conseiller et mettre l’accent sur la formation. La gouvernance cyber doit être incluse dans les méthodes d’organisation des entreprises ainsi que leur programme de développement commercial.

« Pour la plupart, elles n’ont pas encore intégré le fait que certaines cyberattaques sont d’origines étatiques et ont du mal à percevoir les enjeux géopolitiques sous-jacents qui peuvent les impacter. », remarque Mohamed Beghdadi.

« Nous partons du principe que puisque les attaques sont de plus en plus complexes et vont continuer à se multiplier, il est important pour chaque entreprise de disposer d’une brique sécuritaire solide et évolutive offrant une capacité à être agile et flexible. Cela permet, in fine, de maîtriser et de piloter la gouvernance cyber par rapport à la gouvernance commerciale. L’erreur serait d’installer uniquement des produits cyber « à la mode » qui ne correspondent pas aux besoins métiers et business de l’entreprise ni aux risques identifiés.

Au sein de Hub One, notre démarche consiste à créer du liant entre la gouvernance cyber et l’opérationnelle pour nos clients. Notre objectif est de développer la partie conseil et audit afin de nous assurer que d’un point de vue opérationnel, la solution proposée est pertinente. », souligne ce dernier.

Dans cette situation, l’approche Zero Trust. L’idée est de toujours mettre en doute toute situation pouvant être susceptible de compromettre la sécurité du système informatique. Le doute ici doit être systématique. Que ce soit à la réception d’un courriel, ou lors de l’installation d’un nouveau système informatique au programme de gestion. Car de manière certaine, le danger peut venir de partout. Principalement en interne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Et si votre GPU abritait plusieurs malwares

Selon des recherches menées par des spécialistes de la sécurité informatique, des pirates informatiques ont réussi l’exploit utiliser des cartes graphiques pour contourner les programmes d’antivirus.

Des cybercriminels sont parvenus à exploiter la mémoire de nombreuses cartes graphiques pour contourner les applications antivirus.

Cet article va aussi vous intéresser : La cryptographie des cartes à puce

Une mise en garde a été lancé officiellement à l’intention des mineurs de cryptomonnaies ainsi que des gamers. En effet, les experts de la sécurité informatique ont découvert un nouveau programme malveillant capable d’exploiter la vulnérabilité des cartes graphiques pour passer inaperçu et se cacher des programmes la protection. Ce programme malveillant s’exécute alors depuis la mémoire tampon du GPU. Grâce à cela, il peut facilement contourner les applications antivirus qui sont installés pour surveiller la RAM à la recherche de signaux suspect. Ces révélations ont été fait par le média spécialisé Bleeping Computer.

C’est une technique qui a été mis sur le marché à travers un forum dédié typiquement piratage informatique. Il est proposé aux hackers qui seront les plus offrants. Grâce au code partagé, il sera aisé de fabriquer tout type de programmes malveillants fonctionnelle de sorte à pouvoir le diffuser aussi aisément.

Cette faille de sécurité touche déjà plusieurs GPU comme l’a été observé par les spécialistes de la cybersécurité. Par ailleurs, l’individu derrière la commercialisation de cette méthode de piratage informatique a précisé lui aussi de son côté qu’il pourrait bien marcher sur les PC Windows ayant un support OpenCL 2.0 ou même de version supérieur. Il précise aussi que certain nombre de GPU AMD, NVIDIA et Intel sont aussi vulnérables à la méthode.

Cependant il a cité certaines solutions graphiques particulières qui peut faciliter la mise en place de cette nouvelle type d’attaque informatique à savoir :

– l’AMD Radeon RX ;

– la Nvidia GTX 1650 ;

– Intel UHD 620 ;

– Intel UHD 630.

Il faut noter que les GPV qui sont généralement et utilisent la mémoire système. Cependant il y a toujours des circonstances de cette mémoire système qui sont réservés typiquement au système graphique. C’est d’ailleurs de ce côté qui existent dans la vulnérabilité dont il est exactement question. Les cybercriminels peuvent s’en servir pour cacher des programmes malveillants. Cela y va de même pour la VRAM qui se trouve embarqué sur la carte vidéo.

plusieurs cartes GPU probablement infectés par un virus

Mais il faut signifier que jusqu’à présent aucune plainte officielle n’a été déposée concernant l’exploitation de cette méthode de cyberattaque. L’on on est juste en phase de l’existence d’un programme malveillant inédit, qui n’a pas encore été observé en termes d’utilisation pratique pour cibler un terminal. Cependant, cela n’exclut pas la nécessité de surveiller de manière prudente votre mémoire GPU et aussi votre RAM. Selon les informations en circulation, cet outil aurait été mis en vente le 25 août dernier soit environ une semaine seulement.

Il faudrait aussi savoir que passer par le GPU dans le but de caser des logiciels malveillants dans un PC n’est pas une tactique assez nouvelle pour ainsi dire.  Dans un article sur Bleeping Computer : « ce type d’exploit a déjà circulé dans l’espace universitaire, et « JellyFish » constitue l’un des PoC pour rootkit GPU les plus tristement célèbres – il visait les systèmes Linux en 2015. ».

Même si selon les déclarations de l’auteur de cette nouvelle technique des cyberattaques, sa technique n’a rien à voir avec le JellyFish. Il estime que la sienne « ne repose pas sur le mappage du code vers l’espace utilisateur ».

Par conséquent, il faut seulement noter que cette menace est quand même inquiétante. En effet ça porte est assez grande roman vulnérable plusieurs gammes de GPU et d’ordinateurs portables Windows en circulation.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage