Archives par mot-clé : ransomware.

Les écoles bordelaises attaquées par un code malveillant

La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.

Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux.  Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.

Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.

A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier  propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !

Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.

Ransomware : 10 conseils pour les éviter

Le ransomware, une menace bien réelle. Une fois qu’ils ont infecté un ordinateur ou un réseau d’entreprise, ces malwares en cryptent toutes les données et exigent le paiement d’une rançon pour pouvoir récupérer la clé de cryptage.

Les victimes d’un ransomware sont souvent démunies face à cet arrêt brutal de leurs systèmes, et se tournent vers différentes sources pour chercher de l’aide, mais il est déjà bien trop tard.

Heureusement, il existe de nombreux moyens d’anticiper ce type d’attaques avancées afin réduire leur impact. La clé ? Une solution de sauvegarde éprouvée. Qu’il s’agisse de logiciels de demandes de rançons, les attaques informatiques ciblent tout le monde : particuliers, petites entreprises, ou encore grands groupes. Une attaque réussie peut être particulièrement onéreuse et nuire à la réputation de la marque.

C’est pourquoi il est important de prendre conscience du danger et suivre les 10 conseils suivants :

1. Comprendre le ransomware : il est courant de considérer – à tort – que les PME ne constituent pas des cibles d’attaque intéressantes. En fait, les faits suggèrent même le contraire. Tout le monde est une cible : aucune entreprise, aucun compte bancaire ne fait exception.

2. Sécuriser tous les vecteurs de menace : les attaques d’un ransomware exploitent plusieurs vecteurs, notamment le comportement des utilisateurs, les applications et les systèmes. Les six principaux vecteurs d’attaque sont les e-mails, les applications web, les utilisateurs à distance, les utilisateurs sur site, le périmètre réseau et l’accès à distance. Une sécurité complète doit englober tous ces vecteurs. Un pare-feu ne suffit plus.

3. Sécuriser tous les angles d’attaque : en raison de leurs nombreux avantages les réseaux hybrides sont de plus en lus nombreux. La sécurisation efficace des applications SaaS ou Cloud, comme Office 365, nécessite une solution complète, conçue pour gérer les réseaux hybrides de façon centralisée.

4. Éduquer les utilisateurs : le comportement des utilisateurs peut être la plus grande vulnérabilité d’une entreprise. Une bonne sécurité est une combinaison de mise en œuvre, de suivi et d’éducation des utilisateurs, particulièrement contre les menaces comme l’hameçonnage, le harponnage, le typosquatting et l’ingénierie sociale.

5. Ne pas oublier les télétravailleurs : la révolution mobile stimule la productivité, la collaboration et l’innovation, mais elle entraine aussi un taux plus élevé de travailleurs à distance se connectant sur des appareils souvent personnels. Cela peut créer une faille de sécurité importante si les terminaux et les flux ne sont pas sécurisés.

6. Maintenir les systèmes à jour : lorsque des vulnérabilités dans des plateformes, des systèmes d’exploitation et des applications sont découvertes, les éditeurs publient des mises à jour et des correctifs pour les éliminer. Il faut donc s’assurer de toujours installer les dernières mises à jour, et ne pas utiliser de logiciels obsolètes qui ne seraient plus supportés par l’éditeur.

7. Détecter les menaces latentes. Toute infrastructure contient un certain nombre de menaces latentes. Les boîtes de réception d’e-mails sont remplies de pièces jointes et de liens malveillants qui n’attendent qu’un clic pour entrer en action. De même, toutes les applications, qu’elles soient hébergées localement ou basées dans le Cloud, doivent être régulièrement scannées et mises à jour avec leurs correctifs, permettant ainsi de lutter contre d’éventuelles vulnérabilités.

8. Empêcher les nouvelles attaques : le domaine du piratage est en évolution permanente, des attaques sophistiquées, ciblées ou de type « zero day » se multiplient et cibleront, un jour ou l’autre, toutes les entreprises. Pour les arrêter, il faut mettre en place une protection dynamique et avancée, avec une analyse de sandbox et un accès précis à des renseignements internationaux sur les menaces.

9. Utiliser une bonne solution de sauvegarde : un simple système de sauvegarde fiable permet de se remettre de nombreuses attaques en quelques minutes ou quelques heures, pour un coût dérisoire. Si les données sont corrompues, chiffrées ou volées par un logiciel malveillant, il suffit de les restaurer à partir de la dernière sauvegarde. Cela permet à une entreprise de, rapidement, reprendre ses activités.

10. Préserver la simplicité de la gestion : comme la complexité des réseaux et des menaces augmente, il est facile de laisser la gestion de la sécurité devenir un fardeau majeur pour le personnel informatique. Cette gestion complexe et décousue ouvre la porte à davantage de négligences qui peuvent affaiblir la sécurité. Pour réduire les risques et les coûts au minimum, il est nécessaire de mettre en place une solution simple et complète offrant une administration de la sécurité centralisée et une visibilité sur l’ensemble de l’infrastructure. (Par Wieland Alge, VP et DG EMEA)

Ransomware : la menace prend son envol

Aux États-Unis, le FBI a récemment publié un rapport affirmant que les victimes de ransomware auraient réglé plus de 209 millions de dollars sur le seul 1er trimestre 2016, contre 24 millions de dollars sur l’ensemble de 2015. Les chiffres s’envolent et le ransomware est rapidement devenu un logiciel malveillant à la mode ciblant de nombreux pays et profils d’utilisateurs. Le racket qui en découle est malheureusement une réalité de tous les jours pour nombre de victimes.

Le ransomware n’est guère nouveau et existe, selon certains experts, depuis 1989, avec l’apparition du cheval de troie « AIDS ». Cependant, il faut attendre 2005 pour voir une variante de ce logiciel malveillant utiliser un chiffrement asymétrique pour la première fois. Depuis, le ransomware est devenu une arme de prédilection pour les cybercriminels. Notons que depuis 2013, la généralisation du Bitcoin joue le rôle de catalyseur, en offrant aux cybercriminels le moyen de recevoir des fonds de manière parfaitement anonyme.

Parallèlement, c’est l’utilisation de Tor et de réseaux décentralisés similaires qui rend la tâche plus simple : les cybercriminels déploient des plateformes dédiées à des infections de masse, dans un modèle de type Ransomware-as-a-service (RaaS), et optimisent les gains détournés auprès de leurs victimes (même après redistribution de 20% ou plus des revenus aux affiliés qui participent aux campagnes RaaS). Le ransomware a ainsi évolué au fil du temps, et cette évolution donne certaines perspectives sur le futur de ce malware.

L’omniprésence annoncée des ransomware
Comme mentionné, il existe deux grandes familles de ransomware, mais on note que les différences tendent à s’estomper. À titre d’exemple, un crypto-ransomware récemment identifié empêche, s’il chiffre les données, également d’accéder à certains sites Web à partir du PC infecté, jusqu’au paiement de la rançon.

Le distinguo tend également à s’atténuer alors que les ransomware se veulent compatibles à de nouvelles plateformes, au-delà des PC, à savoir les dispositifs mobiles. Les ransomware ciblent ainsi le système d’exploitation Android, et nous avons identifié des variantes (comme FLocker) qui s’en prennent aux objets connectés comme les Smart TV. FLocker exige une carte cadeau iTunes d’une valeur de $200 avant de permettre au téléspectateur de pouvoir accéder à nouveau à sa TV et ses programmes.

Selon l’analyste Gartner, il y a aura 6,4 milliards d’objets connectés d’ici la fin de 2016, et 21 milliards d’entre eux à l’horizon fin 2020. Le nombre de victimes potentielles s’annonce ainsi considérable !

Le ransomware, à l’image d’une pandémie, évolue et trouve en permanence de nouveaux vecteurs d’infection et d’attaque. De nouvelles variantes apparaissent, toujours plus sophistiquées et réinventant les techniques d’infection. Le souci est que cette évolution ne marque aucun temps d’arrêt.

Pour les familles SamSam et ZCryptor par exemple, nous avons récemment identifié une propension à se propager de manière latérale, au sein du périmètre interne du réseau, reprenant ainsi à leur compte le comportement des vers pour proliférer sur un réseau.

Il faut dire que l’évolution du ransomware est, à vrai dire, plutôt proche de la théorie de Darwin sur le sujet ! Ainsi, un ransomware qui s’étend à partir d’une seule machine peut être vu comme un arthropode primaire qui émerge de la mer pour la première fois. Cette étape majeure est en réalité intervenue il n’y a que quelques mois, ce qui nous amène à nous interroger : mais comment le ransomware peut-il évoluer si rapidement ?!

En premier lieu, les victimes sont nombreuses à régler la rançon demandée (près d’un tiers des Français se disent prêt à payer cette rançon), ce qui encourage les cybercriminels à poursuivre leurs exactions et capitaliser sur un business toujours plus lucratif. Sans rentrer dans le débat de savoir s’il faut payer ou non, la récupération de certaines données critiques chiffrées plaide parfois en faveur de ce paiement. Mais attention, ce règlement n’est pas une garantie de pouvoir récupérer ses données. La valeur du Bitcoin étant particulièrement volatile, il semblerait, selon certains rapports, que des entreprises se soient procurées des bitcoins pour se préparer à une possible infection par ransomware. Il est intéressant de constater que la demande de bitcoins est à la hausse, avec un taux de change qui a presque doublé au cours des trois derniers mois, pour atteindre 768 dollars.

On imagine que les auteurs de ransomware gèrent leur business à l’image d’une entreprise classique, réinvestissant une part conséquente de leurs fonds détournés dans la recherche et développement. À l’instar d’un éditeur de logiciel, on imagine qu’ils disposent de chefs de projets, d’une roadmap produit et d’ingénieurs capables de restaurer les bugs ou d’enrichir le panel fonctionnel de leur ransomware.

Quelles sont les perspectives ?
Le ransomware est devenu tellement omniprésent qu’on peut s’interroger sur sa marge de progression. Et pourtant, de nouveaux territoires d’infection sont à envisager…

  • Systèmes de contrôle industriels / SCADA

Il reste encore un univers qui est, pour l’instant, à l’abri du ransomware : les systèmes de contrôle industriels au sein des environnements de production : usine chimique, centrales nucléaires, centrales électriques, etc. Ces systèmes sont pourtant des proies idéales pour le ransomware.

Aucune information, tout du moins publique, ne permet à ce jour de conclure à l’existence de cas d’infection au sein des environnements industriels. Cependant, la question est légitime car toute stratégie de sécurité est susceptible de présenter des lacunes…

Ces systèmes industriels sont peu protégés et plutôt fragiles. C’est un fait connu. Certaines variantes actuelles de ransomware pourraient donc se contenter de frapper à la bonne porte, ce qui laisse penser qu’il est probable que la menace émergera tôt ou tard au sein de ces environnements industriels. Nous constatons déjà que le ransomware cible certains profils de victimes, comme les acteurs de soins de santé, qui doivent s’acquitter d’une rançon élevée car nombre de ces acteurs ont déjà accepté, dans le passé, de payer la rançon. Quid des gouvernements ? Seraient–ils prêts à céder au chantage pour prévenir toute problématique au sein d’une centrale nucléaire ?

C’est pour répondre à ces défis que Fortinet a imaginé son architecture ISFW (Internal Segmentation Firewall) qui empêche les assaillants de se mouvoir latéralement au sein des réseaux industriels ou d’entreprise.

  • CLOUD

Face à un ransomware qui prolifère presque à sa guise, quelles sont les perspectives ?

Compte tenu de son historique, on imagine facilement que le ransomware continuera à proliférer. Car pour survivre et se développer, le ransomware suit les données où qu’elles se trouvent. Les données migrent vers le cloud, qui devient ainsi un terrain particulièrement fertile pour les ransomware.

Apple a récemment annoncé que son service gratuit icloud passait de 20 à 150 Go de stockage, faisant du stockage de données privées et personnelles dans le cloud la nouvelle norme. Les cybercriminels pourraient tirer parti d’une API pour chiffrer des données stockées en ligne. Car, après tout, le Cloud repose sur des systèmes appartenant à une personne ou entité.

Plus que jamais, il est essentiel que des sauvegardes soient réalisées de manière régulière, quelle que soit la plateforme cloud utilisée. Pour mieux accompagner les organisations, Fortinet étudie en permanence les menaces liées au ransomware et repense les approches capables de neutraliser les nouveaux vecteurs et variantes. Nous renforçons notre capacité à détecter et neutraliser les menaces, et à concevoir des mesures de rétorsion en se focalisant sur des nouveaux modèles de prévention.

  • LES HUMAINS

Sans verser dans la science-fiction, on est néanmoins en droit de s’interroger : compte tenu des risques associés à l’Internet des Objets, est-il possible le fait que le ransomware passe un jour du monde numérique vers nos systèmes biologiques ?

Que se passerait-il si un ransomware vous empêchait d’utiliser votre prothèse de bras ou vos dispositifs et implants médicaux (pacemaker par exemple ?). Ces risques ne doivent pas être écartés !

Fort heureusement, il s’agit encore à ce jour de spéculation, mais, pour autant, sommes-nous si loin de la réalité ? La science-fiction a nourri nombre de nos inventions … L’évolution étant un processus permanent, nous pouvons nous attendre à l’émergence de nouveaux vecteurs et cibles. Et si, demain, les ransomware implantaient des modules de contrôle au sein de votre voiture sans conducteur, venaient perturber une opération chirurgicale assistée par robot ou vous empêchaient d’accéder à votre propre maison connectée ? Et que dire des dispositifs infectés capables de déployer et gérer d’autres dispositifs ? Sommes-nous vraiment si éloignés d’une situation, aujourd’hui encore fictive, avec des machines qui prendrait le contrôle sur les humains ? Nous sommes particulièrement enthousiastes face aux promesses que nous dévoile le futur. Mais nous devons être encore plus enthousiastes à protéger ce monde à venir. (Par David Maciejak, expert sécurité chez Fortinet)

Un ransomware écrit en GO

Le langage GO de Google voit débarquer son premier code malveillant. Un ransomware qui chiffre votre disque dur et vérifie votre solde en bitcoins.

Les ransomwares, il y en a pour tous les goûts, toutes les bourses. DrWeb, éditeur de solutions de sécurité informatique vient de mettre la main sur une nouvelle version de ce type de logiciel malveillant. Baptisé Trojan.Encoder.6491, ce logiciel de rançonnage agit comme ses cousins, il chiffre les disques durs et demande de l’argent en échange du déchiffrement. Dans le cas de Trojan.Encoder.6491, 25 dollars à payer en Bitcoin. Originalité de cette attaque ?

Trojan.Encoder.6491 est codé en GO, le langage de programmation de Google. A son lancement, Trojan.Encoder.6491 s’installe dans le système sous le nom de Windows_Security.exe.

Puis le Trojan se met à chiffrer les fichiers, comme un ransomware de base, se trouvant sur les disques avec l’algorithme AES. Ce microbe chiffre 140 types de fichiers différents (.doc, .jpg, etc.). Ce logiciel pirate contrôle le solde du portefeuille Bitcoin de la victime pour s’assurer du transfert de l’argent. Le virement constaté, le ransomware déchiffre automatiquement les fichiers pris en otage.

Locky and co ! Le ransomware est maintenant la première menace en Europe

Locky a encore de l’avenir ! L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.

Locky et ses amis n’ont pas fini de perturber les boites mails ! Vade Secure, l’éditeur français spécialisé dans les solutions de protection des boites de messagerie (300 millions de boîtes protégées à travers le monde) alerte depuis longtemps sur la montée en puissance des ransomware.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

« Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer,  indique Régis Benard. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. »

Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales.

Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats .

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale.

Objets connectés : prise d’otage possible

Deux chercheurs démontrent que les prochaines prises d’otage numérique pourraient toucher nos objets connectés.

Objets connectés dangereux ? Je vous racontais, l’année dernière, comment des routeurs et des répartiteurs Wifi avaient été pris en otage par des pirates informatiques. Une méthode simple qui permet d’utiliser le matériel infiltré pour d’autres attaques. Les caméras de vidéo surveillance, des bouilloires ou encore des congélateurs connectés avaient pu être utilisés dans ce genre de malveillance. Heureusement, dans la plupart des cas, des démonstrations de chercheurs.

Lors du Defcon de Las vegas, Andrew Tierney et Ken Munro, deux chercheurs en sécurité informatique se sont amusés à démontrer que les objets connectés, comme par exemple des thermostats connectés, pouvaient être pris en otage par un ransomware. Des pirates pourraient réclamer quelques euros aux propriétaires piégés par leur thermostat bloqué.

Pour les deux ingénieurs, mais cela devient une lapalissade que de le dire, encore trop de créateurs de périphériques connectés ne prennent pas de précautions dans la sécurité de leurs objets, mettant en danger les utilisateurs. « Nous ne disposons de quasdiment aucun contrôle sur nos appareils, soulignent les deux britanniques à Mother board, et nous ne savons pas vraiment ce qu’ils font et comment ils le font« .

Ransomware : les entreprises refusent de payer… sauf quand elles sont victimes

L’étude « 2016 Executive Application & Network Security» de Radware montre que l’essentiel des craintes en matière de sécurité informatique se cristallisent autour du télétravail, de l’Internet des objets, du ransomware et des « wearables »

Combien d’entreprises sont prêtes à verser une rançon en cas d’attaque informatique au « ransomware » ? Aux Etats-Unis et au Royaume-Uni, parmi les directeurs et responsables informatiques qui n’ont pas encore été confrontés à ces attaques, 84% déclarent qu’ils ne paieraient pas. Pourtant 43% des entreprises victimes ont fini par payer. C’est ce que révèle l’étude 2016 de Radware « Executive Application & Network Security».

Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données et des applications, a interrogé plus de 200 dirigeants d’entreprises et DSI aux Etats-Unis et au Royaume-Uni. Il en ressort que les entreprises américaines admettent plus volontiers qu’elles accepteraient de payer une rançon. 23% des dirigeants d’entreprises américaines n’ayant jamais été victimes d’une telle attaque se disent prêts à verser une rançon contre 9% seulement au Royaume-Uni. En moyenne, les entreprises ont versé des rançons de l’ordre de 7 500 dollars aux Etats-Unis et de 22 000 livres sterling au Royaume-Uni.

« C’est un exemple marquant des nouvelles décisions que les dirigeants et DSI sont amenés à prendre dans le domaine de la sécurité », déclare Carl Herberger, vice-président des Solutions de Sécurité de Radware. « Il est facile de dire qu’on ne paiera pas tant que le système n’est pas bloqué est rendu inaccessible. Les entreprises qui prennent des mesures de sécurité proactives réduisent les risques de devoir faire face à de telles décisions. »

L’étude « 2016 Executive Application & Network Security» révèle également quelles sont les menaces informatiques qui préoccupent le plus les dirigeants d’entreprises et les membres de la direction. Rien de mieux que d’anciens pirates pour mener la garde : les dirigeants considèrent que des pirates expérimentés sont les mieux placés pour mettre leurs systèmes à l’épreuve. 59% des sondés ont recruté ou envisagent de recruter d’anciens hackers pour les aider à renforcer leur sécurité. L’un d’eux a résumé : « Il n’y a pas meilleur garde-chasse qu’un ancien braconnier ».

Le télétravail expose à des risques supplémentaires : l’étude a révélé que l’organisation du télétravail dans les entreprises est en train d’être revue. 41% des sondés déclarent avoir modifié les règlements internes ces deux dernières années pour mieux encadrer ces pratiques. Il convient de mieux encadrer l’utilisation des wearables : une entreprise sur trois environ a mis en place des règles de sécurité appliquées aux wearables ces deux dernières années. Pourtant 41% des sondés reconnaissent n’appliquer aucune règle sur ce type de terminaux si bien qu’ils représentent une vulnérabilité croissante. Ceci s’explique peut-être par le fait que les wearables ne sont pas considérés comme une cible principale. 18% seulement des sondés les désignent comme des vecteurs d’attaques privilégiés par les hackers dans les années à venir.

Les nouveaux objets connectés, prochaine frontière de la sécurité : loin devant les wearables, de nombreux dirigeants estiment que l’Internet des objets pourrait poser de sérieux problèmes de sécurité. 29% considèrent en effet que les objets connectés sont des vecteurs extrêmement probables d’attaques, dans des proportions équivalentes à l’infrastructure réseau (31% des réponses).

Se remettre d’une cyberattaque peut coûter cher : plus d’un tiers des sondés aux Etats-Unis ont révélé avoir perdu plus d’1 million de dollars suite à une cyberattaque, plus de 10 millions de dollars pour 5% d’entre eux. Au Royaume-Uni, la facture est en moyenne moins salée, puisqu’ils sont 63% à déclarer avoir perdu moins de 351 245 livres sterling (environ 500 000 dollars), et 6% plus de 7 millions de livres sterling.

Le risque ransomware pour la sécurité s’étend à toute l’activité : que les attaques soient motivées par l’appât du gain ou pas, elles ont de graves répercussions sur les finances et sur la réputation des entreprises victimes. Interrogés sur les conséquences des cyberattaques qu’ils craignent avant tout, les dirigeants ont répondu majoritairement (34%) le préjudice sur la réputation. La perte d’exploitation (31%), le manque à gagner (30%), la baisse de productivité (24%) et la chute du cours des actions (18%) viennent ensuite.

Méthodologie de l’étude
A la demande de Radware, Merrill Research a interrogé 205 dirigeants et DSI (104 aux Etats-Unis, 101 au Royaume-Uni) en avril et mai 2016. Pour être éligibles à cette étude, intitulée « 2016 Executive Application & Network Security », les sondés devaient représenter une entreprise avec un chiffre d’affaires d’au moins 50 millions de dollars (ou équivalent) et occuper le poste de vice-président senior ou un poste de direction plus élevé encore dans la hiérarchie. Autant de hauts dirigeants et de vice-présidents seniors ont été interrogés. La moitié environ des entreprises ayant participé à l’étude ont entre 1 000 et 9 999 salariés, 3 800 en moyenne.

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

Ransomware: +30% d’attaques en 3 mois

Le ransomware a dépassé les attaques de type APT (menaces persistantes avancées) pour devenir le principal sujet d’actualité du trimestre. 2900 nouvelles variantes de malwares au cours de ces 92 jours.

Selon le rapport de Kaspersky Lab sur les malwares au premier trimestre, les experts de la société ont détecté 2900 nouvelles variantes de malwares au cours de cette période, soit une augmentation de 14 % par rapport au trimestre précédent. 15 000 variantes de ransomware sont ainsi dorénavant recensés. Un nombre qui va sans cesse croissant. Pourquoi ? Comme j’ai pu vous en parler, plusieurs kits dédiés aux ransomwares sont commercialisés dans le blackmarket. Autant dire qu’il devient malheureusement très simple de fabriquer son arme de maître chanteur 2.0.

Au premier trimestre 2016, les solutions de sécurité de l’éditeur d’antivirus ont empêché 372 602 attaques de ransomware contre leurs utilisateurs, dont 17 % ciblant les entreprises. Le nombre d’utilisateurs attaqués a augmenté de 30 % par rapport au 4ème trimestre 2015. Un chiffre à prendre avec des pincettes, les ransomwares restant très difficiles à détecter dans leurs premiéres apparitions.

Locky , l’un des ransomwares les plus médiatisés et répandus au 1er trimestre
Le ransomware Locky est apparu, par exemple, dans 114 pays. Celui-ci était toujours actif début mai. Un autre ransomware nommé Petya est intéressant du point de vue technique en raison de sa capacité, non seulement à crypter les données stockées sur un ordinateur, mais aussi à écraser le secteur d’amorce (MBR) du disque dur, ce qui empêche le démarrage du système d’exploitation sur les machines infectées.

Les trois familles de ransomware les plus détectées au 1er trimestre ont été Teslacrypt (58,4 %), CTB-Locker (23,5 %) et Cryptowall (3,4 %). Toutes les trois se propagent principalement par des spams comportant des pièces jointes malveillantes ou des liens vers des pages web infectées. « Une fois le ransomware infiltré dans le système de l’utilisateur, il est pratiquement impossible de s’en débarrasser sans perdre des données personnelles. » confirme Aleks Gostev, expert de sécurité en chef au sein de l’équipe GReAT (Global Research & Analysis Team) de KL.

Une autre raison explique la croissance des attaques de ransomware : les utilisateurs ne s’estiment pas en mesure de combattre cette menace. Les entreprises et les particuliers n’ont pas conscience des contre-mesures technologiques pouvant les aider à prévenir une infection et le verrouillage des fichiers ou des systèmes, et négligent les règles de sécurité informatique de base, une situation dont profitent les cybercriminels entre autres. Bref, trop d’entreprise se contente d’un ou deux logiciels de sécurité, se pensant sécurisées et non concernées. L’éducation du personnel devrait pourtant être la priorité des priorités.

Développement rapide des cybermenaces sur mesure

Des cybermenaces régionalisées, avec des langues, des styles et des méthodes de paiement locaux.

Une étude menée par les SophosLabs, de l’éditeur de solution de sécurité informatique éponyme, indique une tendance à l’augmentation, chez les cybercriminels, du ciblage et de la sélection spécifique de certains pays lors de la conception de leurs ransomwares et autres cyberattaques malveillantes. Cette étude intègre des informations émanant de plus d’un million de systèmes de par le monde qui ont été analysées.

Afin d’atteindre davantage de victimes avec leurs attaques, les cybercriminels conçoivent aujourd’hui des spams sur-mesure pour déployer leurs menaces en utilisant un langage, des styles et des méthodes de paiement locaux, pour une meilleure compatibilité culturelle. Les ransomwares sont malicieusement déguisés en authentiques notifications par email, en imitant des logos locaux, pour plus de crédibilité, plus de probabilité d’être cliqués et une meilleure rentabilité pour les cybercriminels. Afin d’avoir la meilleure efficacité possible, ces spams par email imitent par exemple l’agence postale locale, les services des impôts ou de police, les entreprises fournissant l’eau, le gaz, l’électricité, en utilisant des fausses confirmations d’envoi et de remboursement, de fausses amendes pour excès de vitesse, ou encore de fausses factures d’électricité. Une augmentation notable des spams dans lesquels les textes sont mieux orthographiés et ponctués, avec une meilleure structure grammaticale. « Vous devez faire davantage attention pour différencier les faux emails des vrais », déclare Chester Wisniewski, Senior Security Advisor chez Sophos à DataSecurityBreach.fr. « Etre au courant des tactiques et techniques utilisées dans votre région ou pays devient un aspect fondamental de la cybersécurité ».

Les experts ont aussi repéré une tendance nette à l’apparition de différents types de ransomwares qui ciblent des lieux spécifiques. Les différentes versions de CryptoWall frappent en priorité les Etats-Unis, le Royaume-Uni, le Canada, l’Australie, l’Allemagne et la France. TorrentLocker attaque principalement le Royaume-Uni, l’Italie, l’Australie et l’Espagne et TeslatCrypt, quant à lui, sévit au Royaume-Uni, aux Etats-Unis, au Canada, à Singapour et en Thaïlande. Les analyses montrent également le TER[1] (Threat Exposure Rates) par pays, sur les 3 premiers mois de 2016. Bien que les économies des pays occidentaux soient une cible principale, leurs TER sont plutôt faibles. Les pays classés avec un TER faible sont la France avec 5.2%, le Canada avec 4.6%, l’Australie avec 4.1%, les Etats-Unis avec 3%, et le Royaume-Uni avec 2.8%. L’Algérie avec 30.7%, la Bolivie avec 20.3%, le Pakistan avec 19.9%, la Chine avec 18.5% et l’Inde avec 16.9%, sont les pays avec les plus forts pourcentages de systèmes exposés à des attaques par malwares. ZATAZ.COM avait été l’un des premiers blog dédié à la protection numérique à annoncer la vente de « kit » pirate de création de ransomware.

« Même le blanchiment d’argent est ciblé géographiquement afin d’être plus lucratif. L’utilisation des cartes de crédit peut s’avérer risquée pour les cybercriminels. Ils ont ainsi commencé à utiliser des méthodes de paiement anonymes sur Internet, afin d’extorquer de l’argent à leurs cybervictimes via les ransomwares », a déclaré Wisniewski à Data Security Breach. « Nous avons pu observer des cybercriminels utiliser les équivalents locaux de cartes de paiement en ligne ou en magasin, telles que la carte prépayée Green Dot MoneyPak chez Walgreens aux Etats-Unis, ou encore Ukash, à présent paysafecard, utilisée dans plusieurs magasins au Royaume-Uni ». L’idée de sélectionner des pays en particulier est aussi ressortie de l’étude comme une tendance forte.

Les cybercriminels programment leurs attaques afin d’éviter certains pays ou certains types de clavier avec un langage particulier. Un phénomène qui apparaît pour plusieurs raisons. Il peut s’agir de la volonté des cybercriminels que ces attaques ne se produisent pas à proximité du point d’envoi, afin d’éviter toute détection. Il peut s’agir aussi d’un sentiment de fierté nationale, ou encore d’une stratégie conspirationniste afin de créer le doute à propos d’un pays en particulier, en l’épargnant lors du lancement de l’attaque.

Les banques sont un bon exemple de l’utilisation par les cybercriminels de malwares ciblant un endroit en particulier pour augmenter leurs gains. L’étude révèle, en effet, comment de manière historique les Trojans et malwares utilisés pour infiltrer les banques ou les institutions financières convergent vers des régions spécifiques :

·         Brazilian Banker Trojans et ses variantes ciblent le Brésil.
·         Dridex est présent davantage aux États-Unis et en Allemagne.
·         Trustezeb se rencontre plus dans les pays germanophones.
·         Yebot est populaire à Hong Kong et au Japon.
·         Zbot est plus répandu aux États-Unis, au Royaume-Uni, au Canada, en Allemagne, en Italie, en Espagne et au Japon.

Il existe une véritable industrie artisanale visant à créer des Trojans sur-mesure, prenant pour cible uniquement les banques brésiliennes. Maintenant que les cybercriminels créent des menaces qui semblent vraiment authentiques et qui sont ciblées, il est de plus en plus difficile de reconnaitre les spams malveillants. Les utilisateurs de PC domestiques sont souvent les cibles de telles attaques et doivent protéger leurs systèmes vis-à-vis de ces menaces sophistiquées.

Ransomwares : règles pour ne pas finir chiffré

Le ransomware est un logiciel malveillant qui infecte les équipements connectés, les réseaux et les centres de données. Ces derniers ne peuvent plus être utilisés tant qu’une rançon n’a pas été payée pour débloquer les systèmes infectés. Des attaques qui se sont démultipliées ces derniers mois.

Le ransomware existe depuis au moins 1989, à l’époque où le cheval de troie “PC Cyborg” cryptait des dossiers sur un disque dur et forçait les utilisateurs à payer 189 $ pour les récupérer. Depuis, les attaques de type ransomware sont devenues beaucoup plus sophistiquées, ciblées, et bien sûr lucratives. Même si ce protéger est dès plus simple (réflexion, éducation, anticipation), les attaques ont démontré que les internautes n’étaient toujours pas prêts face à un courriel mystérieux.

L’impact et la toxicité d’un ransomware sont difficiles à évaluer, car de nombreuses sociétés choisissent tout simplement de payer pour récupérer leurs données, une démarche qui n’est pas toujours la plus pertinente. Un rapport portant sur la campagne liée au ransomware Cryptowall v3, datant d’octobre 2015 et réalisé par la Cyber Threat Alliance, estimait que le coût engendré par cette seule attaque d’envergure ressortait à 325 millions de dollars.

Un ransomware utilise des modi operandi différents. Un crypto ransomware peut contaminer un système d’exploitation au point d’empêcher l’équipement de démarrer. D’autres ransomware vont crypter un lecteur ou un ensemble de fichiers et de dossiers. Certaines variantes, particulièrement malveillantes, disposent d’un minuteur qui déclenche la suppression des fichiers jusqu’au paiement de la rançon. Quelle que soit la variante, les ransomware exigent le règlement d’une rançon afin de débloquer ou libérer les systèmes informatiques, fichiers ou données verrouillés ou chiffrés.

Comment est-on infecté ?

Un ransomware peut être inoculé de différentes manières, mais, le plus souvent, il prend la forme d’un fichier infecté joint à un email. Par exemple, aujourd’hui, vous avez peut-être reçu un email prétendument envoyé par votre banque. Il comporte le bon logo, des liens URL vers votre véritable banque et votre nom. Le message vous indique qu’une activité suspecte a été détectée sur votre compte bancaire, et que vous devez installer le fichier joint à l’email afin de vérifier vos codes d’accès à votre compte en ligne. Ces vérifications semblent légitimes, mais il s’agit, en réalité, d’une attaque par phishing.

Vous le savez : aucune banque ne se permettrait d’envoyer un fichier à installer, surtout s’il s’agit de vérifier vos identifiants d’accès bancaire. En réalité, le document joint est vérolé par un ransomware dont l’objectif est de s’installer sur votre système d’exploitation si vous cliquez dessus.

Les documents joints aux emails ne constituent néanmoins pas les seuls leviers de contamination. Le téléchargement “drive-by” en est un autre : l’utilisateur visite un site web infecté et télécharge furtivement un logiciel malveillant qui s’installe à l’insu de l’utilisateur. Le ransomware se propage également via les réseaux sociaux ou les applications web de messagerie instantanée. Enfin, récemment, ce sont des serveurs web vulnérables qui ont été exploités pour servir de point d’entrée vers le réseau d’une entreprise.

Comment ne pas se faire piéger ?

Voici dix conseils pour protéger vos données et celles de votre entreprise des ravages d’un ransomware.

1.       Mettre en place une stratégie de sauvegarde et de restauration. Sauvegardez vos données régulièrement et stockez-les offline, sur un équipement autre que celui que vous utilisez.

2.       Utilisez des outils professionnels de sécurité email et web, capables d’analyser les documents joints aux emails, les sites web visités, les fichiers infectés par des logiciels malveillants, et qui peuvent bloquer des publicités potentiellement dangereuses, ainsi que l’accès à des sites et réseaux sociaux qui ne présentent aucun intérêt dans le cadre du travail. Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné.

3.       Faites en sorte que vos systèmes d’exploitation, équipements et logiciels soient patchés et à jour.

4.       Assurez-vous que vos équipements, antivirus réseau, systèmes de prévention d’intrusion et outils antimalware bénéficient des mises à jour les plus récentes.

5.       Si possible, utilisez une liste d’applications qui empêchera les applications non conformes d’être téléchargées ou exécutées.

6.       Segmentez votre réseau en zones de sécurité, pour empêcher une infection présente dans une zone de se propager à d’autres.

Établissez et appliquez des autorisations et privilèges d’accès, de manière à ce qu’un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques.

8.       Établissez et mettez en vigueur une politique de sécurité qui va encadrer le BYOD (Bring your Own Device), afin d’inspecter et de désactiver les dispositifs non conformes à vos exigences de sécurité (absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés, etc.).

9.       Déployez des outils d’analyse post-incident pour analyser, suite à une attaque, l’origine de la menace, le délai de présence (et donc de nocuité) du logiciel malveillant au sein de votre environnement, la suppression réelle de la menace de chaque équipement et garantir que cette mésaventure ne peut se reproduire.

10.   ESSENTIEL: ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise. Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte.

En effet, pour nombre de vos collaborateurs, cliquer sur des documents joints et faire des recherches sur Internet font partie de leur travail. Il est difficile d’être toujours méfiant. D’autre part, les attaques de type phishing sont devenues très convaincantes. Une attaque par phishing ciblée se sert de données disponibles en ligne et de profils sur les réseaux sociaux pour personnaliser son approche. Notons également qu’il est humain de cliquer naturellement sur une facture inattendue à régler, ou sur un message d’alerte provenant de votre banque. Enfin il ressort de nombreuses études que les utilisateurs ont le sentiment qu’assurer la sécurité est le travail de quelqu’un d’autre, mais certainement pas le leur.

Que faire si vous êtes contaminé ?

Si vous disposez d’une sauvegarde récente de vos données : vous pouvez effacer le contenu de votre équipement et procéder à la restauration.

1. Signalez le délit

Une recherche rapide en ligne vous mènera vers le site où signaler les cybercrimes dans votre pays ou région. En Europe, vous pouvez localiser le site de signalement des cybercrimes de votre pays à cette adresse.

2. Payer une rançon ne constitue pas une garantie

Payer une rançon ne garantit pas la restitution des fichiers. Les escrocs, en revanche, perçoivent les fonds et, dans certains cas, disposent des informations bancaires de leur victime. De plus, décrypter des fichiers ne signifie pas que le phénomène de contagion lié au logiciel malveillant a été éradiqué.

3. Faites appel à des experts

De nombreux systèmes d’exploitation, logiciels et solutions de sécurité sont fournis pas des acteurs qui comptent dans leurs équipes des experts capables de vous prodiguer des conseils sur la manière de réagir en cas d’infection. Des sociétés de services peuvent également vous proposer de réaliser des expertises post-incident et accélérer la reprise suite à un tel sinistre.

4. Prévoyez un plan B

Que faire si vos systèmes informatiques ou réseaux sont indisponibles ? Disposez-vous d’un plan de secours ? Pouvez-vous assurer le bon déroulement des opérations, même en mode restreint, pendant le processus de restauration ? Connaissez-vous le coût horaire subi par votre entreprise en cas d’indisponibilité système ? Ce coût est-il intégré à votre budget informatique ? Autant d’informations qui doivent être prises en compte dans votre politique de sécurité.

Bref, la cybercriminalité est une entreprise à but lucratif générant des milliards de revenus. Avec le même objectif que la plupart des entreprises, les cybercriminels sont très motivés quand il s’agit de trouver des moyens de s’enrichir. Mais contrairement aux entreprises, la fin justifie les moyens. Les cybercriminels misent sur des subterfuges, l’extorsion de fonds, des attaques, des menaces et des techniques d’ingénierie sociale pour accéder à vos données critiques et vos ressources.

Le ransomware n’est guère nouveau mais son récent essor, sa sophistication et sa rapidité de frappe soulignent une tendance orientée à la hausse et une volonté d’identifier de nouveaux moyens d’escroquer les particuliers et les entreprises qui sont en ligne.

Maintenant, plus que jamais, la sécurité n’est pas juste un élément à rajouter à votre métier. Elle est devenue indispensable pour mener vos opérations. Faites en sorte d’établir des partenariats avec des experts en sécurité qui comprennent que la sécurité ne se résume pas à activer un boîtier dans un centre de données. Il s’agit, au contraire, d’un ensemble de technologies intégrées et collaboratives, associé à une politique de sécurité efficace et à une approche par étapes qui prend en compte les phases de préparation, de protection, de détection, de réaction et d’apprentissage.

Les solutions de sécurité doivent pouvoir partager leurs informations de veille sur les menaces et neutraliser rapidement toute menace à l’échelle de votre environnement multisite. Elles doivent être intégrées au cœur de votre réseau et vous protéger de manière transparente et sur le long terme, à mesure que votre réseau évolue et se développe. Ces solutions doivent savoir s’adapter rapidement lorsque de nouvelles menaces apparaissent et, bien sûr, ne pas ralentir vos activités métiers au quotidien. (Guillaume Lovet, expert en cybercriminalité chez Fortinet)

Rançonnage informatique pour les PME : dans le Béarn le patron a payé !

Rançonnage informatique pour les PME – Édifiant témoignage dans le journal Sud Ouest au sujet d’une attaque de type ransomware contre une PME du Béarn. Trente mails échangés avec le pirate et une obligation de payer. Le pirate s’amusera jusqu’au bout avec son pigeon.

Le ransomware, je vous en parle beaucoup. Depuis le 1er janvier 2016, je suis à plus de 6.000 cas reçus par des particuliers, des entreprises, des associations, des collectivités territoriales. Imaginez le chiffre réel de ces attaques, sur 6 mois. Sans parler de ceux qui cachent l’attaque à leurs clients, leur patron, à leurs administrés. Et il y a ceux qui parlent. Certes anonymement, mais ils tentent de faire passer le message comme dans les colonnes du journal Sud Ouest.

On apprend qu’une entreprise de 23 salariés c’est fait piéger par un ransomware. Pour rappel, un logiciel de rançonnage n’a rien d’un virus. Sa mission, après qu’un HUMAIN est cliqué dessus, chiffrer les documents (ou le disque dur complet) de l’ordinateur touché. Les attaque se font au hasard. Le pirate lance son énorme filet mondial, tant pis pour ceux qui ont cliqué.

Rançonnage informatique pour les PME : dans le Béarn le patron a payé !

Le cas de la PME du Béarn est intéressant car la directrice de l’entreprise a conversé avec le pirate (Je suis très intrigué par les 30 courriels, NDR). Elle va finir par payer « On a essayé de négocier, mais avec eux, rien n’est négociable… » indique-t-elle dans le quotidien.

Le pirate a conclu cette transaction de plusieurs centaines d’euros en se foutant ouvertement de la tête de sa victime « J’ai pensé vous faire une blague en demandant plus d’argent, mais je me suis dit que ce ne serait pas amusant pour vous. Utilisez des serveurs de sauvegarde externe, et installez des antivirus, avec mots de passe, à l’avenir !« .

Le rançonnage informatique pour les PME est une véritable plaie, pourtant simple à éviter. Je vous proposais, dès Mai 2015, outils et conseils anti ransomwares à prodiguer à votre entourage professionnel et privé pour éviter de finir dans les mains de voleurs 2.0. Je vous déconseille fortement de payer. Ne faîte pas comme cette proposition d’un agent du FBI qui indiquait aux entreprises de payer si ces dernières souhaitaient retrouver leurs informations bloquées par un maître chanteur. Les pirates n’attendent que ça. Pensez plutôt à un budget sauvegarde, vous aurez l’air moins bête en cas d’attaque !

Découverte de Manamecrypt, un nouveau ransomware

Le G DATA SecurityLabs a découvert un nouveau ransomware nommé Manamecrypt. Aussi connu sous le nom de CryptoHost, ce programme malveillant est un Trojan de chiffrement qui ne s’attaque pas uniquement aux données mais qui empêche également l’exécution de certains programmes sur la machine comme les antivirus, Netflix, twitter, Facebook, youtube… Le ransomware se répand d’une manière assez peu commune : il est intégré à certaines versions de logiciels de torrents comme Utorrent.

Il est possible de récupérer vos données !

Dans sa mise en œuvre actuelle, le ransomware est en fait sensible aux attaques. Les victimes peuvent restaurer leurs données. Le mot de passe pour le fichier RAR se compose des éléments suivants:

SHA1Hash (Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + nom d’utilisateur.

Le SHA1 est le nom du fichier .RAR. Le nom peut être déterminé comme suit: appuyez sur la touche Windows + R; puis entrez cmd et appuyez sur Entrée. Dans la fenêtre de ligne de commande nouvellement ouverte, entrez echo% username% et appuyez sur Entrée à nouveau. La chaîne affichée est le nom d’utilisateur.

Exemple: Le fichier .RAR créé par Manamecrypt est appelé 123456789DSB et le nom d’utilisateur est 92829. Le mot de passe est donc 123456789DSB92829.

Pendant ce temps, les amis de Manamecrypt …

L’éditeur en a profité pour faire un petit retour sur l’année 2015. La fin d’année 2015 a été marquée par plusieurs vagues d’attaques. Les kits exploit ont surfé sur des vulnérabilités rendues publiques. Quant au trojan bancaire Dridex, il a utilisé des emails en français pour se répandre. Le G DATA PC Malware Report du 2e semestre 2015 est disponible.

5 143 784 nouveaux types de programmes malveillants en 2015

Au 2e semestre 2015, les experts du G DATA Security Labs ont recensé 2 098 062 nouveaux types de programmes malveillants. Sur l’année 2015, le chiffre s’élève à plus de 5 millions. La très forte hausse des derniers semestres, liée à une explosion des adware, est retombée sur une croissance plus linéaire.

Vagues d’attaques par kits exploit

Les kits exploit Neutrino, Angler, Nuclear et Magnitude ont été particulièrement prédominants au second semestre 2015. Un niveau de risque élevé, ponctué de pics d’attaques liés à des diffusions publiques de vulnérabilités. Par exemple, le 5 juillet, la fuite de documents relatifs à la société italienne Hacking Team a engendré un pic d’attaque inattendu. Le 7 juillet, une vulnérabilité Flash détaillée dans ces documents, était intégrée dans des kits exploit ! L’attaque a pris fin 3 jours plus tard, après la mise à jour de Flash par Adobe. L’histoire s’est répétée le 13 octobre, lorsqu’une vulnérabilité du groupe APT28, alias Sofacy, a été rendue publique.

La France touchée par la vague Dridex

Au début du 2e semestre 2015, la baisse des attaques par chevaux de Troie bancaires était notable, avec notamment la disparition du code dominant Swatbanker. Malheureusement, cette baisse ne fut que temporaire. En fin d’année, la campagne massive de diffusion du code Dridex a fait remonter les détections de Trojan bancaires à leur plus haut niveau. En France, cette vague d’attaque a reposé principalement sur l’envoi d’emails en français contenant des fichiers bureautiques intégrant des macros manipulées. (G Data)

Récupération des données en cas de ransomware : 6 règles à respecter

Récupération des données en cas de ransomware ! Catastrophes naturelles, pannes de courant ou d’équipements, piratage informatique, erreurs de manipulation, virus… La liste des menaces potentielles planant sur les données et les activités d’une entreprise est sans fin. La grande mode des ransomwares permet, malheureusement, de rappeler que la sauvegarde informatique n’est pas un gadget.

Les meilleurs outils pour se protéger d’un ransomware existent-ils ? Efficace à 100 %, non. La sauvegarde est le principal secours [le meilleur outil étant de ne pas cliquer sur le fichier joint envoyé par un inconnu]. En suivant des stratégies éprouvées de récupération des données en cas de sinistre, les professionnels de l’informatique peuvent protéger efficacement les données de l’entreprise et garantir que cette dernière reste opérationnelle en cas de désastre d’origine naturelle ou humaine, et même en cas de cyberattaque. Plusieurs étapes existent pour protéger son entreprise et réduire l’impact d’un sinistre.

Planifier et se documenter – Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Répliquer les applications – La protection des données de l’entreprise est essentielle en cas de désastre. Mais pour assurer la continuité des activités, il est également important que les applications de l’entreprise restent fonctionnelles et accessibles aux employés, clients et partenaires, car toute interruption des opérations à la suite d’un désastre peut causer d’importants dommages. Les professionnels de l’informatique doivent sauvegarder les applications comme Active Directory, SQL, les serveurs de courrier électronique, ERP, CRM… ainsi que toutes les applications requises pour permettre aux utilisateurs d’accéder aux données et aux services.

Utiliser une protection sur site et hors site – La sauvegarde et la restauration des données et applications représente une étape cruciale pour la préparation à un désastre éventuel. Mais si le serveur stockant les données de sauvegarde est dans la même pièce – ou sur le même lieu – que le serveur de stockage des données originales, les deux peuvent être endommagés simultanément, notamment en cas d’inondation ou d’incendie. Pour se prémunir de ce type de risque, les entreprises peuvent sauvegarder et répliquer les données et les systèmes sur un équipement basé sur site et dans le Cloud. En cas de panne, la récupération à partir de la sauvegarde Cloud est rapide et l’entreprise peut redémarrer localement ou dans le Cloud. Cette approche hybride, basée sur le Cloud, protège les données dupliquées contre une destruction éventuelle.

Récupération des données en cas de ransomware

Automatiser – Les désastres ne s’invitent que rarement au moment opportun, et même les professionnels les plus avertis peuvent avoir une réaction conflictuelle. En effet, les membres de l’équipe informatique peuvent avoir des préoccupations personnelles en tête, plus ou moins importantes selon la nature du désastre. La disponibilité, ou l’indisponibilité des techniciens IT en cas de désastre, peut donc impacter la durée d’arrêt de l’activité pour l’entreprise. L’automatisation d’un maximum de procédures permet de réduire considérablement le facteur humain dans une équation déjà très complexe. Prudence, cependant à une automatisation sans contrôle. La récupération des données en cas de ransomware doit se faire avec réflexion. Des cas de chiffrements de fichiers, à la suite d’un ransomware, se sont retrouvés dans les backups… automatisés.

Effectuer des tests réguliers – L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident… Mais il faut aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut procéder régulièrement à des essais pour vérifier le plan de sauvegarde. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau ou du centre de données.

Déléguer pour plus d’efficacité – Pour la plupart des entreprises, un sinistre n’arrive heureusement pas tous les jours. C’est pourquoi même les professionnels de l’informatique les plus aguerris peuvent profiter d’un coup de main pour la récupération des données après un désastre. Lorsque de l’élaboration du plan et du choix de la solution, il est important de travailler avec un partenaire spécialisé dans ce domaine, bénéficiant d’une expérience et d’une expertise pour garantir une récupération réussie. Ces 6 étapes permet de s’assurer que le sinistre, quelque soit sa taille et sa nature, n’entraine pas une grande période d’interruption de services et une perte de données. (Par Serguei Beloussov, CEO d’Acronis)

Quand le ver est dans la pomme : comment se protéger des ransomwares ?

Les utilisateurs Mac ne sont plus aussi sereins en ce qui concerne la sécurité de leurs données : la première attaque de ransomwares ciblant des terminaux Apple vient d’être répertoriée, confirmant la fin du mythe selon lequel les dispositifs de la célèbre enseigne à la pomme seraient épargnés par le fléau des cyber-attaques.

Bien qu’Apple ait pu identifier rapidement l’origine de l’infection et enrayer sa propagation, les entreprises prennent conscience de la multiplication des risques liés aux nombreux modèles de terminaux accédant à leur système d’information, créant par ce biais autant de nouvelles failles et potentielles vulnérabilités qui ne peuvent pas être ignorées.

Parmi les solutions proposées, la mise à jour des applications – et notamment celle incriminée dans le cadre de ce ransomware – est la première et la plus importante des étapes. Cette première ″cyber-extorsion″ à grande échelle témoigne de la sophistication et de l’accélération de la propagation de ransomware, affectant aussi bien les grandes que les petites entreprises. En général, le ransomware se propage par le biais d’emails d’hameçonnage contenant des pièces jointes corrompues, mais les téléchargements involontaires depuis des sites web ou des logiciels infectés peuvent également lui permettre de s’infiltrer dans le système, comme le prouve la récente attaque sur les périphériques Mac.

Les Mac étaient autrefois considérés comme étant immunisés contre les cyber-attaques, mais la croissance d’Apple au sein des entreprises a transformé les utilisateurs de Mac en une cible toute aussi intéressante que leurs homologues sur PC. La gestion des patchs reste l’un des moyens les plus efficaces de lutter contre les cyber-attaques, y compris dans le cadre de rançongiciels basés sur des programmes de chiffrement appelés ″cryptoransomware″. La mise à jour des correctifs permet en effet de réduire les vulnérabilités connues des logiciels et des réseaux, et ainsi de minimiser les zones d’intervention potentielles des cybercriminels.

Pour se protéger des ransomwares, au même titre que d’autres types de cyber-menaces, les entreprises doivent placer la gestion des patchs comme l’une des priorités de leur stratégie de sécurité, pour contrôler  à la fois les systèmes d’exploitation, Microsoft Office, les applications Adobe, les navigateurs web et les plug-ins de navigation. Grâce à des plateformes centralisées, incluant souvent des fonctionnalités d’automatisation, les entreprises sont aujourd’hui capables de répondre au défi de la multiplication des terminaux en leur sein et d’assurer ainsi la protection de leur système d’information – quels que soient les terminaux utilisés par leurs collaborateurs ou tiers. C’est uniquement à ce prix que les données peuvent être réellement protégées et que  la réputation de l’entreprise peut être préservée. (Par Benjamin DeRose, Directeur des Ventes SEMEA chez HEAT Software)

Dridex : quand le ransomware se fait créatif

Ransomware – Récemment des chercheurs ont mis à jour une nouvelle campagne d’envergure impliquant le cheval de Troie Dridex, aux caractéristiques plutôt inhabituelles, mais entraînant l’envoi de millions de messages comme à l’accoutumée. Cette campagne induit trois méthodes différentes de distribution de la charge, afin de garantir une efficacité accrue.

La charge finale correspond au botnet 220 et les utilisateurs basés au Royaume-Uni sont ciblés, en particulier les banques. Des ramifications ont également été identifiées en Australie et en France. Alors que les individus ciblés et le botnet employé n’ont rien d’inédit, on ne peut pas en dire autant des méthodes appliquées par les pirates. Les messages envoyés dans le cadre de cette campagne incluent les éléments suivants : Des pièces jointes au format Word et Excel comportant des macros malveillantes ; des kits d’exploitation qui entraînent le téléchargement automatique de Dridex lorsque les documents malveillants sont ouverts sur des systèmes vulnérables (voir failles de sécurité CVE-2015-1641 et CVE-2012-0158) ; des pièces jointes JavaScript zippées semblant être des documents PDF. Cette nouvelle approche est sans précédent, bien qu’il soit toujours question du téléchargement de Dridex lorsqu’un utilisateur ouvre un fichier JavaScript.

Ransomware : chaque  courrier électronique se caractérise par une méthode différente.
Il est cependant toujours question d’une facture envoyée dans le cadre de la location de toilettes mobiles. Certains utilisateurs considéreront immédiatement de tels messages comme des spams (peu nombreuses sont les personnes à louer des toilettes mobiles régulièrement), mais d’autres ouvriront malgré tout les documents joints, par  pure curiosité, ou quelconque raison, comme expliqué dans l’étude The Human Factor 2015. Lorsque le fichier JavaScript compressé est ouvert, aucun PDF n’est extrait. Il s’agit plutôt d’un fichier .js. Les études ont également permis de révéler que le fichier JavaScript était conçu pour ne pas être détecté par les antivirus. Ce qui n’est pas bien compliqué. certains antivirus ont tenté la chose et se sont retrouvés à diffuser des faux positifs, comme ce fût le cas, le 29 février avec Nod32. Sur les systèmes Windows, le fichier JavaScript semble sans danger et s’exécute automatiquement après un clic double. Lorsqu’un clic double est effectué sur le fichier JavaScript, le téléchargement du fichier binaire comportant Dridex démarre.

34frgegrg.exe, is bad !

En général, les campagnes induisant Dridex se caractérisent par des macros qui permettent presque exclusivement de diffuser les charges. Les Courriers électroniques avec fichier Excel joint comportant une macro qui permet le téléchargement de Dridex. L’exploit du document semble similaire, mais une seule action est requise par l’utilisateur : ouvrir le document joint sur un système vulnérable. Ceci constitue un processus inhabituel lorsqu’il est question de Dridex. Ce type d’attaque, qui revient en fait à simuler l’envoi d’une commande de programmation basique de type Hello World, est particulièrement efficace sur les systèmes vulnérables. Ce document est très probablement personnalisable et son contenu est destiné à rendre l’utilisateur moins suspicieux, ce qui n’aurait pas été le cas avec du texte de programmation.

Les pirates propageant Dridex savent faire preuve de créativité lorsqu’il est question de diffuser leurs charges. En outre, ils n’ont de cesse de développer de nouveaux procédés permettant de ne pas être confondus par les antivirus et autres mesures de détection. La curiosité peut se révéler dangereuse : il est toujours important de rappeler aux utilisateurs qu’il ne faut pas ouvrir les pièces jointes suspectes ou inhabituelles.

Quand le ransomware devient une affaire personnelle
De son côté, Bitdefender indique qu’un tiers des français interrogés sont prêts à payer une rançon pour récupérer leurs données. Les Français se disent prêt à payer jusqu’à 190 €, les Anglais jusqu’à trois fois plus  !

Au total des six pays référents de cette étude (États-Unis, Allemagne, France, Royaume-Uni, Danemark et Roumanie), les ransomwares ont fait un peu plus de 20 millions de victimes en 2015. Bitdefender explique que l’extortionware, malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet, a bondi de 20% l’année dernière et compte pour une part de plus en plus importante de ces victimes.

Proportionnellement, les États-Unis est le pays le plus touché par cette cyber-menace avec 4.1% de sa population, victimes de ransomwares (soit 13.1 millions), suivi de l’Allemagne avec 3.8% (3.1 millions). En effet, comme le révélait une récente étude interne de Bitdefender2, les internautes américains sont des cibles de choix pour les attaques de ransomwares : 61,8% des attaques de malwares via e-mails aux États-Unis y ont diffusé du ransomware en 2015 (55.8% en France) et un e-mail sur cinq infectés par un ransomware au niveau mondial ciblait les États-Unis.

La France se place en 4e position de ce classement devant le Royaume-Uni avec respectivement 3.3% (2.2 millions) et 2.6% (1.7 million) de la population victime de ransomwares.

L’étude révèle également que moins de 50% des internautes savent précisément ce qu’est un ransomware et qu’il s’agit d’un type de menace qui ‘bloque ou limite l’accès aux données d’un PC’. Les Français sont les moins avertis puisque seulement 31% des personnes sondées sont capables de donner cette définition, quand 21% déclarent savoir qu’un ransomware ‘impacte l’ordinateur’ alors que 45% ‘ne savent pas’ ce qu’est un ransomware (vs. 21% des américains).

Le ransomware est la cyber-menace la plus lucrative pour les cybercriminels et l’on comprend aisément pourquoi : en moyenne, près de la moitié des victimes (32% des sondés en France) se disent prêtes à payer environ 500 € pour récupérer leurs données, même s’ils savent que les cybercriminels pourraient très bien ne pas leur fournir la clé de déchiffrement ou leur demander une somme supplémentaire, notamment pour développer de nouveaux outils. Les victimes américaines sont même 50% à avoir payé une rançon.

Une somme qui peut varier d’un pays à un autre puisqu’un Anglais se dit prêt à payer trois fois plus qu’un Français pour récupérer ses données (526 € vs. 188 €) mais toutes les victimes s’accordent pour dire que leurs données personnelles sont en tête de leurs préoccupations. En France 21% des répondants sont prêts à payer pour récupérer des documents personnels, 17% pour des photos personnelles et seulement 11% pour des documents professionnels.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Selon les rapports fédéraux américains, les dommages liés au ransomware le plus récent et le plus important, CryptoWall et ses variantes, s’élèvent à 900 millions d’euros par mois. Ces dommages en pleine expansion sont d’autant plus élevés que le prix du kit ransomware Cryptolocker / Cryptowall 3.1 est vendu seulement 2700 € sur le black market, avec le code source, un manuel et une assistance gratuite.

Citroni, le ransomware qui attaque les serveurs web

Les experts de Kaspersky Lab auraient découvert une nouvelle variante du ransomware CTB-Locker3 Baptisé Citroni / Onion, il s’attaque aussi aux serveurs web.

A l’origine, CTB-Locker est un malware de type ransomware qui chiffre des fichiers sur le disque dur de ses victimes avant de demander une rançon pour les déchiffrer. Il se démarque pour 3 raisons : Son taux d’infection très élevé ; son utilisation de Tor, des Bitcoins et de Elliptic Curve Cryptography et ses capacités multilingues.

Son objectif n’est plus d’encrypter le contenu des ordinateurs mais de s’attaquer aux serveurs web. Ici, les rançonneurs cherchent avant tout des sites web vulnérables, les attaquent pour y uploader du code et encryptent ensuite l’ensemble des fichiers qui y figurent. Ils modifient alors la page d’accueil de ces sites et y affichent des informations sur la façon de décrypter leur contenu. Ils incluent également des informations sur le montant de la rançon.

Les chercheurs ne savent pas encore comment CTB-Locker est déployé sur les serveurs web, mais il y a cependant un point commun sur plusieurs des serveurs attaqués : ils utilisent tous la plate-forme de blog WordPress. En pratique, les rançonneurs demandent moins de la moitié d’un bitcoin comme rançon, soit environ 150 $ US. Pour le moment, 70 serveurs encryptés dans 11 pays ont été repérés, avec une majorité de victimes aux États-Unis et en Russie. Pour le moment, aucun outil de désencryption n’est disponible, la seule façon de se débarrasser rapidement de cette menace étant de s’assurer de disposer d’une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé.

Les prédictions 2016 de Blue Coat en matière de sécurité informatique

Cloud, Ransomware, DDoS. L’année 2015 a été très chargée. L’année 2016 s’annonce tout aussi chaude.

Bijoux dans le cloud ; Voleurs dans le cloud
Les clés du royaume sont maintenant dans le cloud. Puisque de plus en plus d’entreprises stockent leurs données les plus précieuses (données clients & employés, propriétés intellectuelles, etc.) dans le cloud, tôt ou tard les méchants trouveront bien un moyen d’accéder à ces données. En 2016, nous prévoyons de voir une augmentation des failles dans les services cloud, en effet les pirates utiliseront les identifiants liés aux services cloud comme principal vecteur d’attaque. Les tactiques de social engineering vont imiter les écrans d’authentification à ces services cloud pour récupérer les identifiants.

Ransomware Road trip !
Les menaces mobiles et particulièrement les ransomwares font gagner beaucoup d’argent aux cybercriminels, nous verrons donc augmenter les deux dans l’année à venir. Les appareils mobiles représentent une nouvelle cible, téléphones et tablettes connaissent déjà un regain d’attaques au ransomware. Les criminels ont déjà attaqué beaucoup de ces cibles faciles, et désormais ils ne visent plus seulement des individus mais aussi des entreprises qui n’ont pas correctement sauvegardé leurs données sensibles (telles que les images, les codes source et les documents). La découverte récente du « Linux.Encoder ransomware » (qui a déjà corrompu 2 000 sites web) est juste un exemple de plus qui montre que les ransomwares continuent à évoluer.

Trafic chiffré/le SSL comme moyen de dissimulation
Des services tels que Office 365, Google Drive, Dropbox et Box continuent à gagner en popularité ; les pirates aussi continueront de s’appuyer sur ces derniers. Ces services sont parfaits pour eux : ils sont gratuits, simple à installer, utilisent le chiffrement SSL, et ne sont généralement pas bloqués. Le trafic chiffré continuera à créer des angles morts pour les solutions de sécurité étant donné que les activistes de la vie privée tentent de chiffrer le web entier. Avec des adversaires se dissimulant, opérant et communiquant dans un trafic et des canaux chiffrés, il y aura un grand intérêt pour les réseaux chiffrés.

Une attaque ici, une attaque là
Il semble que chaque année soit jugée comme étant « l’Année de l’Attaque », et chaque année, de plus en plus de grandes entreprises sont victimes d’attaques. Aujourd’hui, les attaques sont monnaie courante et les utilisateurs y sont de moins en moins sensibles. Il en résulte que beaucoup se sentent impuissants contre ces menaces, ce qui pousserait les entreprises à privilégier leur capacité d’analyse et de réponse à ces piratages, de même que leur assurance en cas d’attaque.

IoT- Il est 10 heures, savez-vous où est votre thermostat ?
L’internet des Objet (IoT) est un nouveau champ vierge pour le piratage et l’apprentissage. Les piratages PoS de ces dernières années ne sont qu’un début. La prédominance des appareils connectés à Internet, qui sont souvent laissés sans surveillance ni sécurité, font d’eux un refuge idéal pour le contrôle et la manipulation. Le fait est que beaucoup d’appareils connectés manquent d’espace mémoire ou de fonctionnalités d’un système d’exploitation. Par conséquent, la stratégie consistant à les considérer comme des postes clients classiques échouera, et cela permettra à la communauté des pirates d’exploiter les vulnérabilités de l’IoT que ce soit pour faire les gros titres des journaux ou à des fins plus néfastes (simplement en allumant ou en éteignant l’appareil).

Aujourd’hui, les ransomwares ne sont pas encore répandus parmi les objets connectés (tels que les réfrigérateurs ou les FitBits), étant donné que ces appareils ne stockent pas les données importantes que les pirates recherchent. Mais, à mesure que l’IoT se développe, nous allons commencer à voir des attaques plus avancées nous affecter en 2016 et à l’avenir.

Le paysage des menaces internationales
Nous commençons à voir un développement important des attaques nationales sophistiquées. Quelques pays, comme le Nigéria, sont en train de rentrer dans la mêlée avec des attaques plus sophistiquées. D’un autre côté, la Chine et la Corée du Nord ont peu contribué à l’évolution de leurs attaques ces cinq dernières années. Quant à la Russie, elle a évolué de façon significative ces derniers temps, que ce soit en terme d’activité ou de sophistication, étant donné que le pays se préoccupe moins de faire profil bas. Les pirates russes sont maintenant plus vigoureux qu’avant dans leurs tentatives d’intrusion. Nous prévoyons que les conflits à travers le monde amèneront avec eux des attaques via du matériel connectés.

A la suite de la dénonciation du Safe Harbor, la signature du règlement général de protection de données européennes – et les peines encourues pour non-respect – forcera les entreprises à faire un état des lieux de la façon dont ils traitent les informations personnelles de leurs clients européens, ainsi que de leurs employés ; en attendant que cela ait un impact direct et considérable sur leur sécurité d’architecture et investissements.

Le recrutement
La défaillance des entreprises et des pays à développer un cyber talent deviendra un problème important dans les cinq prochaines années. La demande pour les compétences en sécurité informatique professionnelle devrait croitre de 53% d’ici 2018. De ce fait, les postes dans le domaine sécurité seront complétés par des MSSP (fournisseurs de services d’infogérance en sécurité), dont les prix ne baisseront pas. De plus, les produits devront être plus performants et plus intelligents pour pouvoir guider le changement et les organisations privées auront besoin de changer leurs habitudes et d’investir pour intéresser les candidats. (Par Dominique Loiselet, Directeur Général de Blue Coat France)

Angler Exploit Kit : 90.000 sites piratés, des millions d’internautes ciblés

Le code malveillant Angler aurait déjà infecté plus de 90.000 sites Internet dont 30 présents dans le top 100.000 d’Alexa.

AEK, connu aussi sous le nom d’Angler Exploit Kit, n’a pas fini son petit bonhomme de chemin. Comme l’indiquent les analyses de Palo Alto Networks, déjà 90.000 sites Internet ont été touchés par ce code pirate.

Dans cette liste, 30 serveurs web sont placés dans le top 100.000 d’Alexa, soit des millions de cibles potentielles pour le logiciel malveillant. Une opération parfaitement orchestrée. AEK se met à jour périodiquement, et cela sur l’ensemble des sites corrompus. Le script caché sur les sites se déclenche au bon vouloir des « contrôleurs », rendant sa détection très difficile.

Du 5 au Novembre 2015, 90 558 domaines Internet uniques étaient déjà infectés et utilisés par AEK. Le 14 décembre, seulement 2 850 sites étaient considérés comme dangereux pour les sondes de détections d’espaces malveillants.

L’attaque se fait par le biais d’Internet Explorer et d’une version flash non mise à jour (Ce qu’à fait Adobe, d’urgence, en décembre). La nouvelle version d’AEK s’attaque aussi à Firefox et Chrome.

Comme un grand nombre de kits pirate, Angler Exploit Kit vise les internautes selon une géolocalisation, par l’IP, décidée par le pirate. AEK se charge ensuite de télécharger une charge numérique dans le pc de sa victime. La plupart du temps, un ransomware.

2015 : L’année du fléau Ransomware

55.8 % de tous les fichiers malveillants visant les internautes français contenaient une forme de ransomware.

Après avoir analysé des e-mails infectés visant des utilisateurs lors des douze derniers mois et détecté une proportion considérable de malwares de type ransomware, Bitdefender, société de technologies de sécurité Internet innovantes protégeant plus de 500 millions d’utilisateurs dans le monde entier, publie un aperçu de ce que pourrait être l’amplitude de cette menace.

En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0, le décrivant comme le ransomware le plus « actif et menaçant, visant les particuliers et entreprises américaines ». L’étude de Bitdefender confirme cette tendance : 61,8% de toutes les attaques de malwares via e-mails aux États-Unis ont diffusé du ransomware (la plupart du temps Cryptowall et Cryptolocker).

En France, un peu plus de la moitié (55.8%) de tous les fichiers malveillants diffusés via e-mail contenaient une forme de ransomware.

À l’échelle mondiale, près du tiers des attaques de malwares par e-mails contenaient une forme de ransomware, dont la majorité aux États-Unis (11.9%) et environ 2% en France. Le reste des e-mails propageant d’autres types de malwares : chevaux de Troie, spywares et autres programmes malveillants.

Comme souvent, les internautes américains sont les plus ciblés par des infections ransomwares via mail (21.2%). La France arrive en 4e position des cibles privilégiées par les cybercriminels (3.85%).

Les cybercriminels à l’origine de ces ransomwares ont donc fait des États-Unis leur priorité, rejoignant ainsi les craintes des DSI américains davantage préoccupés par les ransomwares que par les menaces 0-day1. Ce pays représente en effet un marché hautement profitable pour ce type d’attaque. En 2015, les créateurs du tristement célèbre ransomware CryptoWall ont extorqué plus de 325 millions de dollars (près de 300 millions d’euros) aux victimes américaines, selon diverses études. Un des facteurs importants qui explique ces gains est l’utilisation d’algorithmes de chiffrement sophistiqués qui ne laisse bien souvent d’autre choix aux victimes que de payer la rançon. Le FBI lui-même a parfois encouragé des entreprises à payer.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Ne confondons plus confidentialité avec sécurité

Depuis début octobre 2015, Twitter a décidé de chiffrer les échanges de messages privés entre ses utilisateurs, en expliquant que cela augmente la sécurité. A chaque fois qu’un géant de l’Internet, Google en tête, passe en trafic SSL, le message est « c’est pour améliorer la sécurité ». Mais l’utilisation de flux chiffrés est-elle un véritable vecteur d’amélioration de la sécurité des systèmes d’informations ?

N’est-ce pas plutôt, et comme l’indique l’ANSSI dans son document Recommandation de Sécurité concernant l’analyse des flux HTTPS « Une technologie conçue pour protéger en confidentialité et en intégrité les communications de bout en bout ».

La confidentialité consiste dans « le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé » selon la définition de l’Organisation Internationale de Normalisation (ISO). La sécurité, elle, correspond à l’absence de menaces, ou à la mise en place de stratégie et d’outils pour réduire très significativement ces menaces.

Le chiffrement du trafic rend pratiquement impossible l’interception des échanges par une personne non autorisée et améliore de ce fait la confidentialité. Et ce de bout en bout, entre le site Internet et l’ordinateur ou le terminal mobile. Mais si le site web est infecté, alors les codes malicieux qui vont transiter sur le réseau ne pourront plus être détecté par les systèmes de sécurité de l’entreprise déployés dans l’infrastructure. En voulant améliorer la confidentialité, le développement des trafics chiffrés ouvre en fait une brèche béante de sécurité

L’Arcep vient d’annoncer qu’à la mi-2015, la part de trafic chiffré vue par les FAI en France représenterait près de 50% contre 5% en 2012. De ce fait, et sur la moitié des trafics internet, la sécurité de l’entreprise ne pourra reposer que sur les capacités d’analyse et de détection déployées après le tunnel chiffré. C’est-à-dire sur le périphérique. Dans la grande majorité des cas, il s’agit d’un simple agent d’antivirus, ce qui est loin d’être suffisant vu la complexité des menaces actuelles. Les pirates l’ont bien compris, et on estime que 80% des attaques complexes utilisent désormais les connections chiffrées pour pénétrer le système informatique des entreprises.

Cela crée une situation paradoxale pour les employés, qui demandent, et à juste titre, à la fois la confidentialité des échanges, la sécurisation des informations sensibles et la protection contre les attaques de type Ransomware. Ne confondons pas confidentialité et sécurité… ça n’est pas la même chose. Ces deux besoins fondamentaux peuvent paraître antinomiques, mais il est désormais possible, avec des solutions de Sécurisation des Flux chiffrés (Encrypted Trafic Management) de faire quelles se complètent pour renforcer la sécurité du système d’information. (Par Dominique Loiselet, Directeur
Général de Blue Coat France.)

Ransomware pour des produits VMware

L’attaque informatique à l’encontre de deux produits VMware revient sur le devant de la scène numérique. Un pirate réclame 1200€ pour rendre les fichiers chiffrés par son ransomware.

Deux outils signés VMware, vCenter et ESXi, sont attaqués depuis quelques semaines par un ransomware qui, à la différence sur PC ou smartphone Android, ne chiffre pas les informations rencontrées. Les données sont effacées après avoir été copiées par le malveillant. « Je veux juste vous dire que votre serveur a été piraté. Votre protection était complètement horrible, indique l’intrus, Si vous voulez obtenir la sauvegarde de vos machines virtuelles, vous devez nous envoyer un montant de 5 BTC« .

Le pirate réclame 1.200 euros pour permettre aux victimes de récupérer leurs biens pris en otage. 5 bitcoins par VM touchés ! Une attaque qui vise d’anciennes versions de Esxi (5.0 à 5.5) et vCenter Server (5.0 à 6.0). Mise à jour obligatoire.

Le pirate, derriére cette malveillance, semble être russe, c’est du moins ce qu’indique son pseudo Russian guardians. Ce dernier termine son message par un avertissement « Nous allons vendre les machines virtuelles à d’autres personnes si nous ne recevons pas les Bitcoins réclamés« . Les otages ont deux semaines pour payer. Les premières attaques sont apparues en juin 2015. Elles viennent de retrouver un certains regain en cette fin octobre. (BlogMotion)

Le ransomware : 2ème menace la plus répandue

Une étude révèle les cinq malwares les plus actifs sur Windows entre janvier et juin 2015, auprès des utilisateurs français et belges.

Bitdefender, éditeur de solutions antimalwares, vient de dévoiler les cinq malwares sur PC les plus répandus en France et en Belgique, ainsi qu’au niveau mondial, entre janvier et juin 2015. Sur les six premiers mois de l’année, Bitdefender a identifié et bloqué JS:Trojan.Ransom.A, l’une des séries de malwares les plus actifs, et qui se classe en 2ème position des menaces les plus répandues auprès des utilisateurs de PC français et belges. Ce type de menaces, les ransomwares, avait déjà beaucoup fait parler en 2014, lorsque Icepol avait fait sa première réelle victime (un homme s’était suicidé après que son ordinateur eut été bloqué). Des variantes plus récentes sont apparues sur Android, avec notamment Koler, un ransomware qui affichait un message géo localisé des forces de l’ordre en prétextant la présence de contenu pédopornographique sur l’appareil de l’utilisateur.

Au niveau mondial, c’est Sality, un vieux code persistant de 12 ans, considéré comme l’un des codes malveillants les plus complexes, qui se classe en 2ème position des malwares les plus répandus ces derniers mois sur PC. « Malgré sa résistance aux mécanismes antimalwares, Sality n’est pas infaillible, » explique Bogdan Botezatu, Analyste Senior en e-menaces chez Bitdefender. « Il peut devenir vulnérable puisque ses mises à jour ne sont pas vérifiées et peuvent donc être détournées. En effet, la mise à jour peut être remplacée par un outil de désinfection. »

Enfin, Bitdefender a noté et bloqué un autre logiciel malveillant très résistant, Conficker, qui figure parmi les 5 menaces les plus répandues dans le monde, notamment en France et en Belgique. Cette menace est la preuve vivante qu’un vieux logiciel non patché reste la porte d’entrée préférée des pirates informatiques. « Ce botnet est actif depuis 2008, bien que ses créateurs ne travaillent plus actuellement dessus » ajoute à datasecuritybreach.fr Bogdan Botezatu. « Il doit sa longévité aux vieux systèmes non patchés. Malgré la disponibilité de correctifs, les utilisateurs n’ont pas tous mis à jour leurs ordinateurs. »

TOP 5 DES MALWARES SUR PC EN FRANCE ET EN BELGIQUE

Trojan.VBS.UDE
Ce trojan downloader prend la forme d’un script VBS (Microsoft Visual Basic Scripting Edition). Son rôle est de télécharger un autre script servant de relais depuis un service d’hébergement en ligne ou directement depuis un site Web afin de donner la main en finalité à la réelle charge malveillante (un fichier exécutable). Le code contenant la charge malveillante dans le VBS est non seulement obfusqué, mais aussi dissimulé en insertion entre diverses lignes de commentaires.

JS:Trojan.Ransom.A
Trojan.Ransom.A est un JavaScript qui verrouille l’écran de l’utilisateur, et prétend que les autorités ont pris le contrôle de l’ordinateur en raison d’activités illégales. Un écran de blocage s’affiche alors, ce qui empêche l’utilisateur d’accéder à ses fichiers ou à la plupart des fonctionnalités du navigateur. Ce ransomware très dangereux est capable d’infecter n’importe quel appareil Windows, Mac OS ou Linux.
     
Trojan.VBS.UCZ
Ce cheval de Troie se cache sous les lignes de texte en commentaires et s’exécute le plus souvent au démarrage.

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.
     
JS :Trojan.JS.Likejack.A
Cet outil, écrit en JavaScript, permet de modifier les « Like » de Facebook. Le likejacking (détournement de Like) est une variante du clickjacking (détournement de clic) où un code malveillant est associé au bouton « Like » de Facebook.

TOP 5 DES MALWARES SUR PC DANS LE MONDE

Trojan.LNK.Gen
Le fameux « virus au raccourci » peut être utilisé pour répandre des fichiers malveillants, dont le célèbre malware Stuxnet.

Win32.Sality.3
Sality contamine les fichiers exécutables. Sa capacité à désactiver les paramètres de sécurité et bloquer l’antivirus explique sa longévité (il existe depuis 2003). Il peut s’injecter lui-même dans tous les processus en cours et infecter des lecteurs amovibles en copiant son propre code ainsi qu’un fichier autorun. Il contacte un serveur C&C et télécharge des charges utiles malveillantes et des fichiers exécutables supplémentaires, fournissant ainsi une porte d’accès aux intrus.

Trojan.AutorunINF.Gen
Ce fichier autorun est traditionnellement utilisé pour la propagation de vers, tels que Conficker. Il s’exécute automatiquement quand le système est connecté à un support de stockage externe de type clef USB ou DVD. « Cette menace montre qu’il existe toujours des utilisateurs de Windows XP, malgré la fin du support de ce système en avril 2014, » déclare Bogdan Botezatu. « En effet, ils représentent encore 11,7% des utilisateurs dans le monde, ce qui devrait soulever des questions sur les vulnérabilités toujours susceptibles d’être exploitées. »

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.

Gen:Variant.Buzy.298 (Ramnit)
Ce ver, qui fait partie de la famille de malwares Win32/Ramnit, se propage via des supports amovibles, des kits d’exploits ou encore couplé dans des applications indésirables (de type adware). Il est capable de télécharger et d’installer un autre malware.

Étude basée sur les informations techniques issues des chercheurs en malwares, Dragos Gavrilut et Alex Baetu.

Ransomware : Les créateurs de CoinVault arrêtés ?

La Police néerlandaise a arrêté lundi 14 septembre dernier deux hommes d’Amersfoort aux Pays Bas, soupçonnés d’être impliqués dans des attaques ransomware CoinVault.

Les attaques des cybercriminels avaient débuté en mai 2014 et s’étaient poursuivies jusqu’à aujourd’hui, prenant pour cibles des utilisateurs dans plus de 20 pays. Kaspersky Lab a réalisé d’importants efforts de recherches afin d’aider la National High Tech Crime Unit (NHTCU) de la Police néerlandaise à dépister et identifier les pirates présumés. Panda Security a également contribué à l’enquête de police en indiquant des versions de malware associées.

Les cybercriminels de CoinVault ont tenté d’infecter des dizaines des milliers d’ordinateurs dans le monde dont la plupart des victimes se trouvaient aux Pays-Bas, en Allemagne, aux Etats-Unis, en France et au Royaume-Uni. Les pirates sont parvenus à verrouiller au moins 1 500 ordinateurs fonctionnant sous  Windows, avant de réclamer une rançon sous la forme de « bitcoins » en échange du décryptage des fichiers.

Les cybercriminels responsables de cette campagne d’extorsion en ligne ont tenté d’adapter leurs techniques d’approches à différentes reprises, afin de pouvoir continuer à toucher de nouvelles victimes. Le premier rapport d’enquête de Kaspersky Lab sur CoinVault a été publié en novembre 2014, après que les premiers incidents du programme malveillant ont été rapportés. La campagne s’est ensuite interrompue jusqu’avril 2015, date à laquelle un nouveau cas a été découvert. Pendant ce même mois, Kaspersky Lab et la National High Tech Crime Unit (NHTCU) de la Police néerlandaise ont lancé le site web noransom.kaspersky.com, une base de données avec des clés de décryptage. Une application de décryptage a en outre été mise à disposition en ligne afin de permettre aux victimes de CoinVault de récupérer leurs données sans devoir verser de rançons aux criminels. Kaspersky Lab a ensuite été approché par Panda Security qui avait trouvé des informations sur des versions de malware associées et dont les recherches de Kaspersky Lab ont révélé que celles-ci étaient effectivement liées à CoinVault. Une analyse approfondie de tous les malwares apparentés a ensuite été réalisée et transmise à la Police néerlandaise.

En avril 2015, lorsqu’une nouvelle version de CoinVault avait été observée, un élément intéressant avait été observé : le malware comportait des phrases sans fautes en néerlandais. Le néerlandais est une langue relativement difficile à écrire sans fautes, de sorte que nous soupçonnions, depuis le début de notre enquête, qu’il existait une connexion néerlandaise avec les auteurs présumés du malware. Ce qui s’est avéré être le cas par la suite. Le combat remporté contre CoinVault a été le fruit d’efforts communs entre des autorités responsables de l’application des lois et des entreprises privées. Nous avons atteint un formidable résultat: l’arrestation de deux suspects.

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.

Attaque de masse de Locker, un nouveau ransomware mort né

Voilà qui reste étonnant. Un étudiant ayant mis en place une démonstration qui a mal tourné ? Le code malveillant Locker touche des centaines de machines. Son auteur s’excuse et diffuse de quoi se soigner ?

Il se nomme Poka BrightMinds. Derrière ce pseudonyme, l’auteur du ransomware V Locker. Depuis le 25 mai, ce microbe infecte et chiffre des milliers de données dans le monde. Une démonstration qui aurait mal tourné ? Son auteur vient de s’excuser en diffusant la base de données des clés publiques, privées et bitcoins employés par V Locker.

Dans la foulée, et avec la présence de ces données, un outil a été réalisé afin de déchiffrer les fichiers. Locker Unlocker va déchiffrer les fichiers infectés par « v Locker ». L’ensemble de la base de données des clés a été inclus dans l’outil. Bilan, le programme de Nathan Scott fait tout de même 70 Mo mais permet de sauver les contenus des disques durs piégés. Attention, cette version ne fonctionnera que pour les victimes qui connaissent leur adresse BitCoin. Une adresse donnée lors de l’attaque.

Outils anti ransomwares

Disque dur bloqué, fichiers chiffrés, … les attaques de ransomwares n’ont jamais été aussi nombreuses. Un kit de sauvetage vient d’être diffusé. Il ne corrige pas toutes les possibilités malveillantes, mais permet déjà d’y voir plus clair.

L’internaute Jada Cyrus a compilé un kit de secours pour aider les victimes de ransomwares à déchiffrer les fichiers verrouillés. Cette boite à outils serait efficace contre les variantes de CryptoLocker, TeslaCrypt, et CoinVault, trois logiciels rançonneurs malheureusement très populaire sur la toile… et dans les ordinateurs de leurs victimes. « Nous avons des dizaines de cas » souligne à DataSecurityBreach.fr un technicien officiant dans une boutique informatique du Nord de la France, à Seclin. « Beaucoup de personnes se retrouvent avec leurs fichiers chiffrés et n’hésitent pas à payer pour retrouver leurs biens« .

ZATAZ.COM a proposé, il y a quelques semaines, un article les premières minutes d’une attaque d’un ransomware. De quoi vous donner une idée de l’efficacité de ce genre d’attaque. Pour rappel, pour se protéger de ce genre de cochonnerie : Ne pas télécharger ou cliquer sur n’importe quoi ; Un courriel proposant un fichier joint de types .rar ; .zip ; .exe ; .svg ; … sont à bannir. Les alertes s’ouvrant dans votre navigateur vous annonçant « des virus » ou une mise à jour urgente de VLC (vidéo, NDR) ; Flash ; … ne sont pas à prendre à la lettre. Un antivirus mis à jour est obligatoire. La meilleure des défenses face à ce genre d’attaque reste la réflexion. Ce kit regroupe des anti ransomwares pour BitCryptor, CoinVault, CryptoLocker, FBI Ransomware, PC Lock, Tesla Crypt, Torrent Locker.

Un faux courriel, une pièce jointe piégée et le disque dur est chiffré !

Pendant ce temps…

Le Ministère de la justice Vietnamien est devenu la dernière victime de taille d’une attaque d’un ransomware. Plusieurs ordinateurs connectés au réseau du ministère ont été infectés par le malware. Beaucoup de données « importantes » se sont retrouvées cryptés. Comme il n’y a aucun moyen de récupérer les données autres que de payer la rançon, il est très probable que le ministère va perdre toutes ses données. Espérons pour ce ministère que les mots « sauvegardes », « Backup » ou « Kar surxng kahxmul » ne lui soit pas inconnu.

Le kit est à télécharger ICI.

Secteur médical : la prochaine cible des cybercriminels ?

Le système d’informations de santé, qui regroupe les dossiers électroniques des patients jusqu’aux dispositifs médicaux, est plus vulnérable qu’on ne l’imagine. Et les enjeux sont bien trop importants pour fermer les yeux sur cette problématique épineuse.

Aujourd’hui, sur le marché noir, les données de patients se monnayent jusqu’à 20 fois plus cher que les données de cartes de paiement récupérées, par exemple, à l’issue d’un piratage visant un acteur de la grande distribution. Les données médicales sont en effet détaillées, riches et regorgent d’informations que recherchent les cybercriminels pour perpétrer leurs détournements d’identité et autres fraudes. De plus, les patients prennent bien plus de temps à se rendre compte du détournement de leurs informations de santé, jusqu’à près d’un an pour certains patients. En effet, pour identifier
une utilisation frauduleuse des cartes de paiement, les banques disposent d’algorithmes qui repèrent rapidement les activités suspectes et prennent souvent automatiquement les mesures de sécurité qui s’imposent. Ces mesures de sécurité n’existent pas dans le domaine médical. Les acteurs de santé, eux-mêmes, ne se rendent pas toujours compte de la vulnérabilité des nombreux systèmes qu’ils utilisent face aux cyber-attaques:

Cyber-attaques traditionnelles
Ces attaques, qui s’en prennent à tous les profils d’organisations, sont véhiculées par des logiciels malveillants, phishing, chevaux de Troie ou encore des ransomware. Par rapport aux autres secteurs d’activité, celui de la santé est particulièrement vulnérable en l’absence de mesures de protection
intégrées et compte tenu d’une priorité moindre accordée à la sécurité. Ces logiciels malveillants, qu’ils soient déployés via des attaques ciblées, des sites Web piratés ou des dispositifs mobiles infectés, entraînent une divulgation de données confidentielles et aboutissent à des coûts importants et à
des tâches de restauration post-incident particulièrement chronophages. Ces attaques ne sont pas vraiment nouvelles, mais elles gagnent en sophistication et la perte de données de patients est une vraie problématique. Les cybercriminels ont d’ailleurs conçu des plateformes entières de logiciels malveillants qui peuvent être personnalisées pour attaquer les acteurs de santé.

Dispositifs médicaux connectés
Aujourd’hui, des moniteurs cardiaques aux pompes à perfusion, tous les équipements peuvent être connectés à un réseau et s’interfacer avec les dossiers électroniques de patient, permettant ainsi d’activer des alertes en temps réel à l’intention du personnel soignant. Cette interactivité est, dans la
perspective du patient, une bonne nouvelle. Mais au niveau sécurité, il s’agit plutôt d’un cauchemar.

La majorité de ces équipements, et notamment les IRM, les scanners et autres équipements de diagnostic n’ont pas été conçus en faisant de la sécurité une priorité. Ils sont nombreux à utiliser des systèmes d’exploitation comme Microsoft Windows et des logiciels conçus pour collecter les données… Et pas forcément les garder en sécurité. Le piratage de ces appareils est donc possible et une fois compromis, les cybercriminels peuvent accéder directement aux systèmes de données cliniques avec lesquels ces équipements sont interfacés.

Les données de patients ne constituent pas les seules ressources pouvant être piratées via des dispositifs connectés. Les cyber-terroristes pourraient potentiellement manipuler les machines et porter atteinte aux patients. D’ailleurs, dès 2011, un chercheur en sécurité a su démontrer qu’une pompe à insuline pouvait être piratée et utilisée pour injecter une dose mortelle d’insuline[1].

Les équipements de santé personnels et résidentiels
Les dispositifs de santé prolifèrent bien au-delà des murs des hôpitaux. Les équipements de santé personnels, les applications de santé et autres coachs de fitness sont de plus en plus nombreux à recueillir et à transmettre des données. Ces systèmes peuvent potentiellement mettre les données de patients en péril (ou du moins ne pas assurer leur parfaite protection), et ils s’interfacent aussi souvent avec des dossiers électroniques de patients ou des systèmes hébergeant des données cliniques. Si un dispositif de contrôle du taux de glucose ou une application de santé sur iPhone peuvent être la cible
d’attaques, ces vulnérabilités s’appliquent également aux institutions de soins de santé. Les dispositifs cliniques ont, en effet, pour priorité d’offrir de nouvelles modalités pour une prise en charge pratique, innovante et performante des patients. La sécurité, elle, est moins prioritaire.

La sécurité des soins de santé ne doit pas attendre que les piratages de données de patients aient réussi pour devenir prioritaire. Il faut s’en préoccuper dès aujourd’hui. Le secteur de soins de santé, dans sa globalité, doit engager des actions proactives et privilégier les équipements qui
intègrent la sécurité en natif, mais aussi déployer une protection active au niveau du réseau et des applications. Les enjeux sont tout simplement trop critiques pour s’offrir le luxe d’attendre.  (Par Christophe Auberger, Responsable Technique France, Fortinet)

Virus Rombertik : rien de nouveau chez le malveillant

Suite à la découverte du malware Rombertik par les équipes de Cisco, il s’avère que le microbe n’a rien de bien nouveau. Il additionne les attaques.

Il n’y a rien de neuf dans ce que fait le malware Rombertik, donc ce n’est pas vraiment une « nouvelle génération » en tant que telle. Il s’agit surtout d’une compilation de plusieurs attaques simultanées « Le premier objectif du malware est de voler les données confidentielles utilisées dans le navigateur Internet. explique Christophe Kiciak, de chez Provadys. Dans le cas où il n’y arrive pas, il passe a son second objectif qui consiste à rendre le poste inutilisable« . Un petit souvenir du virus Leonard de Vinci ?

Rombertik est un spyware de navigateur polyvalent ; c’est également un malware conçu pour pirater les transactions du navigateur et lire des informations d’identification telles que les combinaisons noms d’utilisateurs/mots de passe de messagerie, de comptes bancaire ou d’autres systèmes, et de renvoyer ces informations d’identification au serveur des attaquants. Rombertik sabote le Master Boot Record (MBR) pour empêcher le redémarrage de l’ordinateur attaqué, ou à défaut, chiffre les données de l’utilisateur. Un blocage qui a le goût d’un ransomware, mais sans la rançon. Les données ne sont pas récupérables du tout.

Etant donné que Rombertik est très sensible à la traditionnelle sandboxing réactive, il est crucial d’utiliser des systèmes de défense modernes – prédictifs. Des systèmes qui n’attendent pas qu’un utilisateur clique pour déclencher un téléchargement potentiel de Rombertik. De plus, comme le malware peut être expédié via de multiples vecteurs – comme Dyre, via des URL ou des fichiers .doc ou .zip/exe etc. – il est crucial d’utiliser des systèmes qui examinent l’ensemble chaîne destructrice, et bloquent l’accès des utilisateurs aux URL et pièces jointes envoyées par emails avant ceux-ci ne cliquent dessus.

« Les aspects « autodestruction » de Rombertik étant susceptibles d’être déclenchés par les technologies telles que les antivirus, il est crucial que les entreprises utilisent des systèmes automatisés de réponse aux menaces » confirme à DataSecurityBreach.fr Charles Rami, responsable technique Proofpoint.

Des systèmes qui peuvent localiser et bloquer l’exfiltration de données par Rombertik – sans – déclencher d’action sur le PC, et alerter les équipes de sécurité pour répondre rapidement aux dommages pouvant être causés.

Bref, pour se protéger de Rombertik, ici aussi rien de nouveau sous les palmiers : ne pas cliquer sur n’importe quoi ; mettre l’ensemble de ses logiciels à jour ; ne pas utiliser l’ordinateur avec un compte administrateur. Cela vous évitera de donner l’ensemble de vos privilèges au pirate ; faire des sauvegardes et s’assurer qu’elles fonctionnent.