Archives par mot-clé : zeus

HummingBad et compagnie : Le nombre de ransomwares aurait doublé au second semestre 2016

HummingBad et compagnie ! Un rapport révèle que les attaques de logiciels rançonneurs, les ransomwares, ont doublé au second semestre 2016. Sur l’ensemble des incidents de logiciels malveillants reconnus à l’échelle mondiale, le pourcentage d’attaques des maîtres chanteurs 2.0 est passé de 5,5 % à 10,5 % entre juillet et décembre 2016.

HummingBad, Conficker and co ! Le nouveau rapport de Check Point, baptisé Threat Index, du second semestre 2016 présente les tactiques utilisées par les cybercriminels pour attaquer les entreprises, et détaille les principales catégories de logiciels malveillants : rançonneurs, bancaires et mobiles. Il repose sur des renseignements sur les menaces tirés de sa carte Threat Map, entre juillet et décembre 2016. Des chiffres qui ne concernent donc que les clients de la société. Des statistiques présentées dans ce rapport reposent sur des données tirées de la carte Threat Map et du réseau ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, fournissant des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. Plus de 250 millions d’adresses analysées pour la recherche de bots, ainsi que plus de 11 millions de signatures de logiciels malveillants et 5,5 millions de sites web infectés.

Le monopole sur le marché des logiciels rançonneurs – Des milliers de nouvelles variantes de logiciels rançonneurs ont été découvertes en 2016, et au cours des derniers mois, nous avons assisté à un changement suite à la consolidation du paysage des logiciels rançonneurs. Quelques familles de logiciels malveillants importantes dominent désormais le marché et frappent les entreprises de toute taille.

Attaques DDoS via les objets connectés – Le botnet Mirai a été découvert en août 2016. Tout premier de sa catégorie, ce botnet de l’Internet des objets s’attaque aux caméras de surveillance (CCTV) et aux enregistreurs vidéo numériques (DVR) vulnérables connectés à Internet. Il les transforme en bots pour lancer de multiples attaques de déni de service distribué (DDoS) à fort volume. On estime que des objets connectés vulnérables sont présents dans presque tous les foyers, et que des attaques DDoS massives les exploitant continueront de persister.

Nouveaux types de fichiers utilisés dans les campagnes de spam – Les téléchargeurs basés sur le moteur de scripts Windows (WScript) ont été le vecteur d’infection le plus répandu utilisé dans les campagnes de spam malveillantes tout au long du second semestre 2016. Rédigés en Javascript (JS) et en VBScript (VBS), ces téléchargeurs ont dominé le paysage de la diffusion de spam malveillant, ainsi que des formats similaires moins courants tels que JSE, WSF et VBE.

HummingBad, Conficker et compagnie : principaux logiciels malveillants du second semestre 2016

1.    Conficker (14,5 %) – Un ver permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants. Les postes infectés sont contrôlés par un botnet, qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

2.    Sality (6,1 %) – Un virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.

3.    Cutwail (4,6 %) – Un botnet principalement utilisé pour l’envoi de spam et des attaques DDoS. Une fois installés, les bots se connectent directement à leur serveur de commande et de contrôle, et reçoivent des instructions concernant les emails qu’ils doivent envoyer. Lorsque leur tâche est terminée, les bots communiquent à leur opérateur des statistiques précises sur leurs activités.

4.    JBossjmx (4,5 %) – Un ver ciblant les systèmes comportant une version vulnérable du serveur applicatif JBoss. Le logiciel malveillant crée une page JSP malveillante sur les systèmes vulnérables qui exécute des commandes arbitraires. Par ailleurs, une autre porte dérobée est créée pour obtenir des instructions auprès d’un serveur IRC distant.

5.    Locky (4,3 %) – Un logiciel rançonneur dont la diffusion a débuté en février 2016, qui se propage principalement via des emails de spam contenant un téléchargeur déguisé en pièce jointe au format Word ou Zip. Il télécharge et installe un logiciel malveillant chiffrant les fichiers des utilisateurs.
Principaux logiciels rançonneurs du second semestre 2016 : Le pourcentage d’attaques de logiciels rançonneurs a presque doublé durant la seconde moitié de 2016, passant de 5,5 % à 10,5 %.

Les variantes les plus courantes détectées étaient les suivantes

1.    Locky 41 % – Le troisième logiciel rançonneur le plus courant au 1er semestre, qui s’est considérablement répandu durant la seconde moitié de l’année.

2.    CryptoWall 27 % – Le logiciel rançonneur qui était initialement une imitation de CryptoLocker, puis qui l’a finalement surpassé. Après le retrait de CryptoLocker, CryptoWall est devenu l’un des logiciels rançonneurs les plus importants à ce jour. CryptoWall utilise le chiffrement AES et communique avec son serveur de commande et de contrôle via le réseau anonyme Tor. Il est largement diffusé via des kits d’exploitation de vulnérabilités, des publicités malveillantes et des campagnes de phishing.

3.    Cerber 23 % – Le plus important logiciel rançonneur sous forme de service.  Cerber est commercialisé sur le modèle de la franchise. Ses développeurs recrutent des affiliés qui répandent le logiciel malveillant moyennant un pourcentage des bénéfices.

HummingBad, Conficker et les  principaux logiciels malveillants mobiles du second semestre 2016

1.    HummingBad 60 % – Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent, à l’aide de légères modifications, des activités malveillantes supplémentaires telles que l’installation d’un enregistreur de frappes, le vol d’identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises.

2.    Triada 9 % – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur.

3.    Ztorg 7 % – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

Principaux logiciels malveillants bancaires du second semestre 2016

1.    Zeus 33 % – Un cheval de Troie ciblant les plates-formes Windows, qui est souvent utilisé pour dérober des informations bancaires via l’enregistrement des frappes et le détournement de formulaires.

2.    Tinba 21 % – Un cheval de Troie bancaire dérobant les informations d’identification des victimes à l’aide d’injections web activées lorsque les utilisateurs tentent de se connecter au site web de leur banque.

3.    Ramnit 16 % – Un cheval de Troie bancaire dérobant les informations d’identification de sites bancaires, mots de passe FTP, cookies de session et données personnelles.

« Le rapport démontre la nature des cybermenaces d’aujourd’hui, » précise Maya Horowitz, Threat Intelligence Group Manager chez Check Point. « Les attaques de logiciels rançonneurs se développent rapidement car elles sont tout simplement efficaces et génèrent des revenus importants pour les agresseurs. Les entreprises rencontrent des difficultés pour lutter efficacement contre ces menaces ; la plupart d’entre elles ne possède pas les bonnes défenses, ni de personnel capable de reconnaître les signes potentiels d’une attaque de logiciel rançonneur dans les emails entrants. »

« Nos données démontrent qu’un petit nombre de familles sont à l’origine de la majorité des attaques, tandis que des milliers d’autres familles de logiciels malveillants sont rarement utilisées, » poursuit Mme Horowitz. « La plupart des cybermenaces sont véritablement mondiales, mais la région Asie-Pacifique se classe cependant au premier rang avec 5 familles de logiciels malveillants qui ne figurent dans aucune autre région. »

Le rapport complet est disponible sur cette page :
http://blog.checkpoint.com/2017/02/21/ransomware-doubled-in-second-half-of-2016/

Europol stoppe le gang derrière Zeus et SpyEye

Zeus et SpyEye, deux logiciels espions dédiés au vol de données bancaires, viennent de perdre leurs présumés pères fondateurs dans une opération conjointe d’Europol et EuroJust.

Une équipe de cyber limiers du JIT, qui comprend des hommes et des femmes d’Europol et d’Eurojust, a démantelé un groupe de pirates informatiques soupçonné d’être derrière le développement et le déploiement des outils malveillants Zeus (Zbot) et SpyEye, des chevaux de Troie bancaires.

Depuis plusieurs années, ces kits pirates, particulièrement efficaces, ont fait de gros dégâts. Commercialisaient, il était possible de trouver des versions aux alentours de 500 $, avec des options vendues/louées par les créateurs. Le code source de Zeus a été divulgué sur Internet en 2011. Une fuite rapidement exploitée par les cybercriminels de la planète 2.0. Les codes pirates Citadelle ou encore Gameover sont des modifications de Zeus.

D’après Europole, les personnes arrêtées auraient gagné 2.000.000 d’euros en commercialisant leurs codes. la rédaction de Data Security Breach a appris que le 18 juin 2015, des enquêteurs d’Estonie, de Lettonie, d’Allemagne, de Moldavie, de Pologne et d’Ukraine, secondés par les services secrets américains, ont arrêté cinq personnes logées dans quatre villes Ukrainienne. Une opération rendue possible après de multiples enquêtes lancées en Autriche, Belgique, Finlande, Pays-Bas, Norvège et au Royaume-Uni. Une soixantaine de personnes ont déjà été arrêtées. Elles évoluaient dans la mouvance de Zeus. 34 personnes, arrêtées au Pays-bas, blanchissaient l’argent volé.

 

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ?

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? Il nous aura fallu pas moins de 4 jours pour décortiquer le contenu d’un fichier zip dédié au code malveillant Citadel. 1.9 Go de données diffusées sur certains espaces underground russes.

Un fichier zip comprenant le code source de l’outil pirate Citadel mais aussi des dizaines d’autres outils pirates et malveillants. Nous ne parlons pas de l’analyse technique, qui demande beaucoup trop de ressources, mais uniquement de chaque code source, images, textes, exécutables.

Deux gros dossiers. Le premier avec les codes source de Citadel (source builder plugins). Un seconde dossier, comportant 57 répertoires (ayant eux mêmes des centaines de codes, outils, …) et 53 fichiers rar ou bruts de décoffrage avec autant de la malveillance numérique à revendre.

Un monstre informatique proposant Loader Hook (un keylogguer) ; Zeus 2.0.8.9 ; WinSpy 17 sans parler de mystérieux fichiers textes traitant d’un certain Igor. Sans parler de cet outil qui permet d’envoyer des SMS via Skype, sans parler de ces outils d’OCR capable de retranscrire les textes vues à l’écran ou dans de simples images ; un pack dédié à BitCoin ou encore des exploits pour Windows Seven. A noter aussi une série de ver, des worms (comme Blacj JW, ndlr zataz.com) avec code source et exécutables.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? L’augmentation des attaques constatées ces derniers jours n’annonce rien de bon cet été !

Darkode infiltré, secrets révélés

L’un des espaces les plus confidentiel du web piraté. Les secrets du business de ce black market space révélés. Le moins que l’on puisse dire est que ce 1er avril 2013 aura un goût amère pour les administrateurs de l’espace Darkode. Darkode, en quelques mots, est un espace « très » privé dédié au black market, au business du piratage (données bancaires, failles, …). il est possible d’y croiser de nombreuses « stars » du milieu « black hat », qu’elles soient aujourd’hui en prison (bx1, TinKode) ou encore en activité, sans parler d’informations et vendeurs d’outils pirates comme Zeus ; numéros de cartes bancaires dérobées, …

L’activité de cet espace risque de prendre un sérieux coût dans l’aile. Xylitol, un internaute francophone connu pour son talent numérique, vient de démonter ce black space. Premier élément, le « hacker » semble persuadé que la page d’accès à Darkode sniffe les mots de passe. Autant dire que les visiteurs, triés sur le volet, ont leurs identifiants dans les mains de l’administrateur. Lors de ce piratage en règle, il a été découvert qu’un des membres de cette famille underground s’était fait, excusé du peu, plus de 11 000 $ en commercialisant les actions du bot SpyEye.

Parmi les révélation réalisées après le passage de Xylitol, la page dédiée à la naissance d’un « exploit kit » du nom d’EgyPack. Couteau Suisse pirate apparu en 2011. Autre détail révélé, plusieurs administrateurs de Hack Forum, un autre espace pirate moins privé que Darkode, seraient aussi admins sur ce dernier.

Un « leak », une diffusion loin d’être négligeable. Xylitol, sur son blog Xylibox, annonce avoir réalisé 4 500 captures écrans. « ma version privée, explique l’hacktiviste à zataz.com, c’est une version complète de la base de données, avec en plus une copie sql qui date de 2009« . L’auteur nous explique garder la chose pour les représentants de la loi qui lui en feraient la demande. Bref, poisson d’avril ou pas ?