Archives par mot-clé : Botnet

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

Hajime: le botnet qui détrône Mirai

Le botnet Hajimé sort de l’ombre. Une arme numérique mise en lumière par la société Radware et plus dangereuse que Mirai !

Hajime est un botnet IoT très sophistiqué et adaptable conçu pour durer dans le temps. Il est capable de se mettre à jour et d’enrichir les facultés de ses membres avec des fonctions supplémentaires. Le système distribué utilisé pour la commande, le contrôle et la mise à jour d’Hajimé est assimilable à un torrent sans tracker utilisant des informations dynamiques qui changent quotidiennement. Toutes les communications via BitTorrent sont signées et cryptées à l’aide de RC4 et des clés privées / publiques.

Le module d’extension actuel fournit des services de numérisation et de chargement pour découvrir et infecter de nouvelles victimes. L’implémentation efficace du scanner SYN scanne les ports ouverts TCP / 23 (telnet) et TCP / 5358 (WSDAPI).

Lors de la découverte des ports Telnet ouverts, le module d’extension essaie d’exploiter la victime en utilisant une connexion shell brute force similaire à ce que faisait Mirai. Pour cela, Hajime utilise une liste composée des 61 mots de passe par défaut et ajoute 2 nouvelles entrées ‘root / 5up’ et ‘Admin / 5up’ qui sont des valeurs par défaut  pour les routeurs sans fil et les points d’accès Atheros.

En outre, Hajime est capable d’exploiter les modems ARRIS à l’aide d’une «porte dérobée». Pour en savoir plus, lire le rapport de Radware.

 

Découverte d’une nouvelle technique de camouflage dans un malware

Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .

Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.

Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013 Fortinet, l’un des leaders de la sécurité réseau haute-performance, a communiqué à DataSecurityBreach.fr sa nouvelle recherche sur les principales menaces menée par FortiGuard au cours de la période du 1er Janvier au 31 Mars 2013. Data Security Breach a observé que le botnet ZeroAccess générant des Bitcoins, a été la principale menace de ce trimestre d’après les données recueillies par les boitiers FortiGate situés à travers le monde. Le rapport livre également une analyse des cyber-attaques de la Corée du Sud ainsi que deux nouvelles variantes d’adware sur les appareils Android au cours des 90 derniers jours.

ZeroAccess ne montre aucun signe de ralentissement “Au premier trimestre 2013, nous avons vu les propriétaires du botnet ZeroAccess assurer et augmenter le nombre de bots sous son contrôle,” déclare à dataSecurityBreach.fr Richard Henderson, stratégiste de sécurité et chercheur en menaces au sein de FortiGuard Labs de Fortinet. “Au cours des derniers 90 jours, les propriétaires de ZeroAccess ont envoyé à leurs hôtes infectés 20 mises à jour logicielles.”

ZeroAccess est la principale menace en matière de botnets que l’équipe a observé. ZeroAccess est principalement utilisé pour la fraude par clic et la création de Bitcoins. La valeur de la monnaie électronique, décentralisée et basée sur l’open source, continue à exploser, ce qui signifie probablement que la somme d’argent  qui est générée par ZeroAccess se chiffre en millions de dollars ou plus. “Comme la popularité et la valeur de Bitcoin augmente, nous pourrions voir d’autres propriétaires de botnets tenter de les utiliser à l’identique ou pour perturber le marché des Bitcoins,” poursuit Henderson.

En Mars et Avril, Mt. Gox, la plus grande bourse d’échange Bitcoin du monde, a lutté contre une attaque continue par déni de services distribués  (DDoS) visant à déstabiliser la devise et/ou à en profiter. L’analyse de ZeroAccess par FortiGuard Labs, qui peut charger des modules DDoS sur les machines infectées, révèle que le botnet ne dispose pas actuellement d’un module DDoS attaché à son arsenal. Ceci indique que d’autres propriétaires de botnets tentent de profiter des fluctuations de la devise Bitcoin.

Le développement de nouvelles infections ZeroAccess est resté régulier au cours des 90 derniers jours. Depuis Août 2012, FortiGuard Labs surveille activement ZeroAccess, et l’équipe a constaté une croissance quasiment linéaire en matière de nouvelles infections. Plus récemment, l’équipe a noté 100 000 nouvelles infections par semaine et près de 3 millions d’adresses IP uniques rapportant des infections. On estime que ZeroAccess pourrait générer à ses propriétaires jusqu’à 100 000$ par jour en recettes publicitaires frauduleuses.

L’Attaque Wiper Touche les Entreprises Sud Coréennes Une attaque massive de malwares ciblant les institutions financières et réseaux de télévision Sud Coréens en Mars a causé d’énormes dommages, détruisant des milliers de disques durs. FortiGuard Labs, s’appuyant sur son partenariat avec les secteurs publics et privés en Corée du Sud, a découvert des informations relatives à la nature de l’attaque et à la façon dont le malware s’est propagé. La recherche de l’équipe montre que les assaillants ont réussi à reprendre le contrôle des systèmes de gestion des correctifs et utiliser la nature fiable de ces systèmes pour distribuer des malwares dans les réseaux de leurs cibles. Le nettoyage et la remise en état continuent, et les coupables responsables de ces faits restent non identifiés.

Deux Nouvelles Variantes d’Adware se Propageant sur les appareils Android Deux nouvelles variantes d’adware sur les appareils Android, Android.NewyearL.B et Android.Plankton.B, ont provoqué un grand nombre d’infections mondiales au cours des 90 derniers jours. “Les nouveaux kits de publicité que nous avons observé indiquent que les auteurs font de leur mieux  pour éviter la détection,” déclare à datasecuritybreach.fr David Maciejak, chercheur sénior de FortiGuard Labs chez Fortinet. “Il est également possible que Newyear et Plankton soient créés par le même auteur, mais maintenus distincts afin de générer plus d’infections.” Les deux  malwares sont intégrés dans diverses applications et peuvent afficher des publicités, pister les utilisateurs à travers le numéro IMEI du téléphone et modifier l’écran du téléphone.

La forte augmentation d’adware sur Android peut très vraisemblablement être attribuée aux utilisateurs qui croient installer des applications légitimes contenant un code embarqué d’adware,” déclare à data security Breach Guillaume Lovet, Responsable Senior à FortiGuard Labs. “Cela indique que quelqu’un ou un groupe a été capable de monétiser ces infections, probablement par le biais de programmes illicites d’affiliation publicitaires.” Les utilisateurs peuvent se protéger en prêtant une attention particulière aux droits demandés par l’application au moment de l’installation. Il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.