Archives par mot-clé : gdata

Cybermenaces : Le navigateur web, cible de toutes les attaques

Le rapport sur les cybermenaces du 1er semestre 2018 montre une évolution des types de dangers. Si avec plus de 2 millions de nouveaux types de logiciels malveillants, la tendance est à la décroissance sur les malwares classiques, les attaques web dites « sans fichiers » explosent. Autre information notable du rapport : avec 7,5 attaques bloquées par mois et par utilisateur, G DATA situe la France au 8éme rang mondial de son indice de dangerosité.

Le développement de nouveaux types de logiciels malveillants a légèrement diminué au cours du premier semestre par rapport à l’année précédente. Au total, G DATA Security Labs a classé 2 396 830 nouveaux échantillons comme nocifs. En moyenne, environ 13 000 nouveaux échantillons de logiciels malveillants ont été détectés chaque jour, soit environ 9 par minute.

Le développement des familles de logiciels malveillants actuelles et leur utilisation sont soumis à de fortes fluctuations. Neuf des dix menaces les plus courantes pour les utilisateurs de PC au cours de l’année écoulée ne figurent plus parmi les dix principales menaces évitées au cours du premier semestre 2018.

Les codes utilisés changent, mais la manière dont ils sont diffusés se confirment mois après mois. Aujourd’hui, les attaques sont lancées pour la majorité à partir de sites Web, les attaquants délaissant la diffusion par fichiers exécutables.

Indice de dangerosité stable avec 3 attaques par mois par utilisateur

Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité réelle de ces codes : un seul code aux méthodes de diffusion innovantes ou à la technicité supérieure peut causer plus de dégâts que des milliers. Pour définir cet indice de dangerosité, les attaques détectées chez les utilisateurs des solutions G DATA sont comptabilisées. La moyenne mondiale des attaques sur le premier semestre 2018 pour 1000 utilisateurs est de 94,29. Autrement dit, chaque jour dans le monde un utilisateur d’une solution G DATA sur 10 est confronté à une attaque bloquée. Cela représente en moyenne 18 attaques par utilisateur sur les 6 premiers mois de l’année 2018. 

La France dans le top 10 avec 7,5 attaques par mois ! 

Avec 250 attaques bloquées pour 1000 utilisateurs, la France arrive en 8eme position de ce classement : chaque jour en France, un utilisateur d’une solution G DATA sur 4 est confronté à une attaque bloquée. Cela représente en moyenne 7,5 attaques bloquées par utilisateur par mois. 

La grande tendance du cryptojacking
Durant le premier semestre, le Cryptojacking – minage des monnaies virtuelles à l’insu de l’internaute – se révèle être l’activité principale des cybercriminels. Sur les 6 premiers mois de l’année, les Cryptomineurs ont inondé le Web. 4 cryptomineurs sont dans le Top 10 mondial des codes nuisibles détectés par G DATA. Ils sont 5 dans le Top 10 français ! Cachés sur de nombreux sites Internet Web, ces cryptomineurs téléchargent des scripts sur l’ordinateur de l’utilisateur et minent des cryptomonnaies à l’insu de l’utilisateur. Face à la difficulté technique de miner des bitcoins (trop de ressources de calcul nécessaires), c’est le minage de Monero qui est maintenant privilégié.

Le Webassembly, aussi pour les malwares
Le standard bytecode Webassembly est généralement utilisé comme langage par les cryptomineurs pour s’intégrer dans les navigateurs Internet. Webassembly est un supplément à Javascript supporté par tous les navigateurs. Avec Webassembly, les développeurs web peuvent réaliser une exécution de code plus rapide dans le navigateur : une technologie idéale pour les cryptomineurs… Ce qui est nouveau, c’est que Webassembly n’est plus seulement utilisé dans les cryptomineurs. Il est aussi utilisé par les codes malveillants.

PUP ou Malware ? 
Classer la dangerosité des codes a toujours été une tâche difficile. À partir de quel niveau d’ingérence, un logiciel publicitaire devient-il nuisible ? Cette question se pose également avec les cryptomineurs : il n’est pas toujours clair si les utilisateurs ont accepté ou non l’installation du mineur dans leur navigateur. Ce critère de dangerosité est représenté dans deux catégories de classement : Malware et PUP (programme potentiellement indésirable). Les chiffres globaux du 1er semestre montrent cette ambivalence : 3 cryptomineurs sont parmi le top 10 des malwares et 4 sont dans le top 10 des PUP.

Faits marquants du premier semestre

Forte croissance des attaques à l’escroquerie au support technique en juillet
Au mois de juillet, une série de scripts trojan spécialisés dans l’affichage de fausses alertes dans les navigateurs est arrivée à la cinquième position des dangers détectés. Sous prétexte d’infection, des fenêtres invitent l’utilisateur à contacter un support technique. À l’autre bout du fil, un arnaqueur attend sa victime…

Fortnite au coeur de toutes les attentions

L’arrivée poussive de Fortnite sur Android fut une aubaine pour les cybercriminels. Surfant sur cet engouement, de nombreuses fausses APK du jeu ont vu le jour. Vol d’identifiants et abonnement SMS coûteux étaient au programme pour les plus impatients. Piqué au vif pour ne pas avoir été choisi comme store officiel pour l’application, Google pointe publiquement la faille de sécurité (corrigée depuis) présente dans l’application officielle disponible chez l’éditeur EPIC.

 

Découverte de Manamecrypt, un nouveau ransomware

Le G DATA SecurityLabs a découvert un nouveau ransomware nommé Manamecrypt. Aussi connu sous le nom de CryptoHost, ce programme malveillant est un Trojan de chiffrement qui ne s’attaque pas uniquement aux données mais qui empêche également l’exécution de certains programmes sur la machine comme les antivirus, Netflix, twitter, Facebook, youtube… Le ransomware se répand d’une manière assez peu commune : il est intégré à certaines versions de logiciels de torrents comme Utorrent.

Il est possible de récupérer vos données !

Dans sa mise en œuvre actuelle, le ransomware est en fait sensible aux attaques. Les victimes peuvent restaurer leurs données. Le mot de passe pour le fichier RAR se compose des éléments suivants:

SHA1Hash (Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + nom d’utilisateur.

Le SHA1 est le nom du fichier .RAR. Le nom peut être déterminé comme suit: appuyez sur la touche Windows + R; puis entrez cmd et appuyez sur Entrée. Dans la fenêtre de ligne de commande nouvellement ouverte, entrez echo% username% et appuyez sur Entrée à nouveau. La chaîne affichée est le nom d’utilisateur.

Exemple: Le fichier .RAR créé par Manamecrypt est appelé 123456789DSB et le nom d’utilisateur est 92829. Le mot de passe est donc 123456789DSB92829.

Pendant ce temps, les amis de Manamecrypt …

L’éditeur en a profité pour faire un petit retour sur l’année 2015. La fin d’année 2015 a été marquée par plusieurs vagues d’attaques. Les kits exploit ont surfé sur des vulnérabilités rendues publiques. Quant au trojan bancaire Dridex, il a utilisé des emails en français pour se répandre. Le G DATA PC Malware Report du 2e semestre 2015 est disponible.

5 143 784 nouveaux types de programmes malveillants en 2015

Au 2e semestre 2015, les experts du G DATA Security Labs ont recensé 2 098 062 nouveaux types de programmes malveillants. Sur l’année 2015, le chiffre s’élève à plus de 5 millions. La très forte hausse des derniers semestres, liée à une explosion des adware, est retombée sur une croissance plus linéaire.

Vagues d’attaques par kits exploit

Les kits exploit Neutrino, Angler, Nuclear et Magnitude ont été particulièrement prédominants au second semestre 2015. Un niveau de risque élevé, ponctué de pics d’attaques liés à des diffusions publiques de vulnérabilités. Par exemple, le 5 juillet, la fuite de documents relatifs à la société italienne Hacking Team a engendré un pic d’attaque inattendu. Le 7 juillet, une vulnérabilité Flash détaillée dans ces documents, était intégrée dans des kits exploit ! L’attaque a pris fin 3 jours plus tard, après la mise à jour de Flash par Adobe. L’histoire s’est répétée le 13 octobre, lorsqu’une vulnérabilité du groupe APT28, alias Sofacy, a été rendue publique.

La France touchée par la vague Dridex

Au début du 2e semestre 2015, la baisse des attaques par chevaux de Troie bancaires était notable, avec notamment la disparition du code dominant Swatbanker. Malheureusement, cette baisse ne fut que temporaire. En fin d’année, la campagne massive de diffusion du code Dridex a fait remonter les détections de Trojan bancaires à leur plus haut niveau. En France, cette vague d’attaque a reposé principalement sur l’envoi d’emails en français contenant des fichiers bureautiques intégrant des macros manipulées. (G Data)

G DATA partenaire sécurité de l’équipe Ducati pour le championnat MotoGP 2016

G DATA, l’éditeur de logiciels allemand spécialisé dans les solutions antivirus, devient partenaire technique de Ducati Corse pour le championnat du monde de MotoGP. En tant que partenaire, G DATA protège le système informatique de l’équipe Borgo Panigale contre les menaces en ligne pendant toute la saison du championnat, qui commence le 20 mars sur le circuit international de Losail au Qatar.

G DATA protège les serveurs de données de l’équipe Ducati, équipements vitaux pour les activités sur pistes de l’équipe. Ces ordinateurs gèrent le stockage des données générées pendant des essais et les courses, synchronisent l’acquisition de données avec les serveurs distants de l’entreprise et permettent aux techniciens de piste de traiter les données et réaliser des simulations en temps réel.

« Protéger l’intégrité des données et des systèmes critiques en itinérance est un vrai challenge. Nous devons garantir leur sécurité avec des solutions et des politiques qui doivent s’adapter aux différents réseaux que l’équipe trouvera sur les multiples lieux de la compétition internationale MotoGP, et gérer à distance les informations, les mises à jour et journaux d’entrée des données en garantissant un service continu. C’est un défi et nous sommes honorés de relever », déclare Giulio Vada, Country Manager de G DATA Italie.

La relation avec Ducati inclut également une série d’activités conjointes pour l’année 2016.

Visite des laboratoires de GDATA en Allemagne

A l’occasion des 30 ans de l’éditeur de logiciels GDATA, nous avons visité les laboratoires de ce chasseur de codes malveillants dans ses locaux de Bochum, en Allemagne.

C’est dans une immense usine désaffectée de 15.000m² de la ville de Bochum, dans le nord est de Düsseldorf, que l’éditeur de GData m’a invité à découvrir ses laboratoires de lutte contre les logiciels malveillants. L’usine, imposante, est en plein travaux. Une remise au goût du jour pour ce spécialiste des nouvelles technologie et éditeurs de logiciels de sécurité informatique. Prêt de 400 employés, dont une centaine dans le monde, travaillent pour l’entreprise fondée en 1985 par Kai Figge et Frank Kühn. Depuis, l’entreprise germanique est dirigée par Franck Heisler et le Docteur Dirk Hochstrate. Dans l’ombre, des personnalités financières de première importance comme Natalya Kasperksy.

GData c’est des technologies qui sont reconnues de part le monde, comme le DoubleScan (deux moteurs d’analyse antivirus utilisant les moteurs de Bitdefender et Close Cap) qui a fait ses preuves. Il était d’ailleurs étonnant, et rigolo, de croiser le premier antivirus de la marque, tournant sous Atari ST, G Data AntiVirusKit. Sa version PC (MS-DOS) sortira 5 ans plus tard, en 1990.

Ce qui étonne le plus, l’aspect très familial de cette entreprise. Aujourd’hui encore, la majorité des parts de l’entreprise sont détenues par les employés et les fondateurs de GData. La zone de repos de l’Academy GData vaut son pesant de cacahuète, tenue par un ancien informaticien qui, un jour, a proposé à ses patrons de se charger du vin, de la bière et autres richesses « liquides » de l’entreprise. Bilan, il est devenu le sommelier de GData avec autant de folie dans ses yeux que de passion pour la vie (et le partage de sa passion, NDR). Les équipes sont nommées par des pseudos allant de « Petit Poney » en passant par Terminator 2 pour le patron du labo, Ralf Benzmüller. Il faut dire aussi que le gaillard mesure deux Schwarzenegger à lui tout seul.

Précision Allemande

Parmi les laboratoires que nous avons pu croiser, ceux des équipes en charge des codes malveillants inconnus, ceux dont les moteurs intégrés dans les logiciels de GData ne sont pas capable de bloquer. Des bureaux spacieux, des tableaux bardés de codes et d’informations sensibles. C’est d’ailleurs dans les locaux de Bochum que le code malveillant Tyupkin / APTRASST, il s’attaque aux distributeurs de billets, a été décompilé, décortiqué, analysé. Marrante aussi, cette immense boite noire qui ferait presque peur ! La boite de pandore qui cache en son sein toutes les « merdouilles » numériques capable de mettre à mal un ordinateur, un serveur, une entreprise.

Plusieurs milliers de codes malveillants sont analysés par mois. Les appareils mobiles sont d’ailleurs devenus la première préoccupation des équipes. En plus de l’augmentation des programmes malveillants (+25 % par rapport au premier trimestre 2015), le G DATA Mobile Malware Report a mis dernièrement en lumière une nouvelle tendance : la vente d’appareils Android déjà piégé dès la sortie d’usine.

Plus de 4500 nouveaux fichiers malveillants chaque jour sur Android

Le Mobile Malware Report G DATA du second semestre 2014 fait état d’une croissance soutenue des dangers ciblant Android : 796 993 fichiers malveillants ont été détectés durant la période.

Au total, 1,5 million de codes dangereux sur Android ont été analysés en 2014. Une croissance qui reflète le fort intérêt pour la plateforme. Selon l’institut IDC, 80% des systèmes d’exploitation utilisés dans le monde seraient sous Android.

Au cours du second semestre 2014, le nombre de nouveaux malware pour Android a augmenté de 6,1% comparé au premier semestre de la même année. Avec un total de 1,5 million de nouveaux logiciels malveillants, l’année 2014 connait une croissance de 30% comparée à l’année 2013.

Évolution des malwares ciblant Android depuis 2011
Les boutiques alternatives d’applications sont des vecteurs de codes nuisibles. Mais en fonctions des pays, les utilisateurs ne sont pas tous exposés de façon égale aux dangers. Les experts G DATA ont analysés plusieurs plateformes et les résultats montrent que les boutiques européennes et américaines
proposent moins d’applications dangereuses que les boutiques chinoises ou russes. Sur certaines plateformes chinoises, près d’une application sur quatre est infectée par un code malveillant ou un programme potentiellement indésirable (PUP).

En 2014, G DATA découvrait un spyware intégré dans le micrologiciel (firmware) du smartphone Star N9500. En mars de cette année, c’est le modèle Mi4 du fabricant Xiaomi, commercialisé en Allemagne, qui est en cause. En localisant ce téléphone pour le marché allemand par la mise à jour de son firmware, l’importateur y a intégré un programme d’espionnage qui envoie des données utilisateurs sur des serveurs distants. Volontaire ou non, cette intégration pose le problème des canaux de distribution peu traçables empruntés par certains matériels importés de Chine. (MMB)

De faux logiciels antivirus usurpent l’identité des solutions de sécurité G Data

L’utilisation de faux logiciels antivirus pour infecter les ordinateurs, ou faire payer de fausses prestations aux internautes, est une pratique couramment employée par les cybercriminels. Les astuces ne manquent pas pour effrayer l’internaute sur le niveau d’infection supposé de son système, tout en le rassurant sur la qualité de la fausse solution de nettoyage proposée.

Utiliser le nom d’un éditeur d’antivirus connu est une des possibilités. G Data, dont la marque est utilisée dans certains de ces faux logiciels, fait le point sur cette situation et donne quelques conseils aux internautes. Généralement, tout commence par une navigation Internet anodine. Une fenêtre d’alerte apparait sur un site quelconque prévenant l’utilisateur qu’il doit procéder à l’analyse de son ordinateur. S’il valide cette analyse, il est alors entrainé dans une succession de fenêtres de fausses analyses. Elles n’ont d’autres buts que de pousser l’utilisateur à valider l’installation du programme malveillant sur son ordinateur. Un clic de trop et le programme est alors rapidement installé sur le système.

En plus d’infecter le système (afin de pouvoir en prendre le contrôle au besoin), l’autre finalité du concepteur du code malveillant est de faire payer la victime. Pour cela le mode opératoire est toujours plus ou moins similaire : de fausses alertes de sécurité signalent de graves problèmes sur le système. Jusque-là, ce programme a tout juste, lui-même étant la source du problème. Mais pour les corriger, inutile de penser que rien de plus simple : acheter la version payante ! Dans le cas du faux antivirus étudié, et qui usurpe la marque G Data, le terme générique InternetSecurity est utilisé.

Cette appellation, commune à un grand nombre d’éditeurs, est un premier pas pour induire la victime en erreur. L’interface en elle-même n’a graphiquement rien à voir avec les solutions de sécurité G Data, mais les fausses fonctions affichées telles que le scanner ou le pare-feu peuvent tromper l’utilisateur. L’usurpation de marque est par contre notoire dans les propriétés des fichiers. Le concepteur a en effet inséré le copyright et les informations d’identification de fichier utilisés par G Data dans son code malveillant. Ces informations étant reprises par Windows dans sa gestion des programmes, le terme G Data Antivirus 2012 se retrouve donc présent dans la gestion des icônes de la barre des tâches.

Les conseils de datasecuritybreach.fr pour éviter les faux antivirus

– Installer une solution de sécurité intégrant un filtre HTTP.

– Mettre régulièrement à jour ses navigateurs Internet et son système d’exploitation.

– Désactiver le contenu actif du navigateur. Les éléments javascript, ActiveX… sont fréquemment utilisés pour insérer les logiciels malveillants via des portes dérobées.

– Ne jamais accepter un scan en ligne de votre système si vous ne l’avez pas vous-même formellement demandé.

– G Data, comme les principaux grands éditeurs de solutions de sécurité disposent de versions multilingues de leurs logiciels. Si une solution de sécurité s’affiche en anglais sur un système en français, mieux vaut ne pas cliquer.