Halte à la censure et la désinformation satanistes !
compteur
dimanche 20 mars 2016
Des ravages du trojan crypto-rançonneur Locky
La première victime connue est le Hollywood Presbyterian Medical Center, attaqué le 5 février 2016.
Si le responsable du centre médical a tenu à rassurer ses patients
sur la totale sécurité des soins dispensés dans son établissement
jusqu’au paiement d’une rançon d’environ 15000 euros, il est évident
qu’il ne peut leur garantir qu’ils ne seront pas eux-mêmes victimes de
chantages ou autres désagréments en conséquence du vol de leurs dossiers
médicaux…
1/2 Voici le type de mail qui vous est adressé, contenant le virus
Locky. Attention à ne surtout pas cliquer sur la pièce jointe. Et jetez
vite fait ce mail à la poubelle!
Le Matin
Attention au virus Locky! Utilisant la même technique de vol de
données que le cheval de Troie Dridex (les experts en sécurité pensent
que le groupe à l’origine de Locky est lié à l’un des groupes qui
contrôlent Dridex), il permet aux pirates informatiques de chiffrer vos
données et vous en bloquer l’accès.
Le versement d’une rançon est ensuite exigé par les hackers, ceci
afin que les victimes obtiennent la clé de déchiffrement qui leur
permettra de récupérer les fichiers.
Evidemment, à la condition expresse que les pirates tiennent parole, sans quoi les fichiers sont simplement irrécupérables.
Des exemples? Aux Etats-Unis, le Hollywood Presbyterian Medical
Center a été stoppé après une infection par le Locky. Une rançon de 17
000 dollars a dû être versée par l’établissement.
En Suisse romande, des journaux du groupe Tamedia (auquel appartient
«Le Matin») ont également été visés par le virus. Sans conséquence
jusqu’ici, heureusement.
Ce qui n’a pas été le cas d’une agence immobilière de l’arc lémanique
dont l’entier des données (non sauvegardées) a été ainsi pris en otage
par des pirates informatiques réclamant une rançon pouvant aller jusqu’à
1500 francs par ordinateur utilisé dans l’entreprise.
Que faire pour éviter Locky?
Le virus Locky vous parvient par un simple mail contenant un dossier
Zip, avec un document Microsoft Word. Si vous ouvrez ce dernier, Locky
est immédiatement activé.
Il est donc impératif de ne pas ouvrir les mails provenant d’une
adresse inconnue ou à l’intitulé étrange. Direction poubelle, sans
hésiter! Et puis rappelons que sauver ses fichiers régulièrement sur un
disque dur externe est vivement conseillé.
Certains indices font penser aux spécialistes que les pirates qui
contrôlent Locky ont organisé une large campagne d’attaque. Une extrême
prudence est donc de rigueur.
Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles,
cible en ce moment la France. Attention aux pièces jointes ressemblant à
des factures et faisant appel à des macros !
Le ransomware Locky, à l’origine d’une attaque récente contre un
hôpital à Los Angeles, est toujours actif et il cible particulièrement
la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la
société a identifié plus de 60 variantes à ce jour, serait en effet
particulièrement diffusé en France et en Allemagne. Le CERT-FR,
le centre d’alerte et de réaction aux attaques informatiques de
l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars (sa première version date du 19 février). L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.
Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il
crypte (transformé en .locky). Classiquement, les cybercriminels
demandent aux victimes de s’acquitter d’une rançon pour retrouver
l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin
dans le cas présent, selon les données publiées par Sophos, un Bitcoin
valant aujourd’hui quelque 360 euros).
Diffusion de Locky : haro sur les macros Office
Locky chiffre un grand nombre de fichiers, en
particulier tous ceux ayant des extensions renvoyant à des vidéos, des
images, des codes source et des fichiers Office. Il cible même le
fichier wallet.dat, autrement dit le portefeuille de Bitcoin si
l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il
renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener
leur victime à payer la rançon !
La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre malware célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail,
prenant par exemple l’apparence d’une facture. Sauf que ce fichier
(très souvent un .doc) semble codé de façon inappropriée. C’est là que
réside le piège : un message conseille alors à l’utilisateur d’autoriser
les macros pour revenir à un codage plus adapté. Cette action permet
d’installer sur le disque dur de la victime un fichier qui, à son tour,
va aller télécharger le malware à proprement parler. Cette mécanisme à
double détente, assez courant, permet aux hackers de modifier et de
peaufiner leur malware au fil du temps, sans avoir à bouleverser leur
procédure d’installation.
« Il
est intéressant de noter que le message électronique a pour sujet
« ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom
« invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut
permettre le blocage ou la mise en place d’alertes via les serveurs
mandataires », écrit le CERT-FR. Ce dernier précise toutefois que
la méthode de diffusion du malware peut varier : depuis le 29 février,
l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile,
envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette
fois un fichier Javascript dont l’objectif est de télécharger
Locky.Kaspersky Lab assure également avoir identifié d’autres méthodes
de propagation, notamment via des pages web légitimes sur lesquelles le
malware Locky est implanté. Lors d’une simple visite d’une de ces pages,
Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant
d’éventuelles vulnérabilités logicielles présentes sur sa
configuration. L’éditeur d’antivirus ajoute que, dans ses versions les
plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».
Attention à la propagation sur le réseau de l’entreprise
Une fois l’ordinateur infecté, un écran s’affiche, informant
l’utilisateur du forfait et l’invitant à se connecter à des pages
décrivant de la marche à suivre pour payer sa rançon et récupérer ses
données (ci-dessous). Comme le rappelle Sophos, les effets d’un
ransomware comme Locky peuvent être dévastateurs en entreprises, car le
malware ne se contente pas de chiffrer le disque C: de
sa victime. Il bloque aussi les fichiers des disques auxquels le poste a
accès, y compris les disques amovibles, les serveurs de fichiers du
réseau ou les machines de tiers (y compris sous Linux ou OS X).
Dévastateur si la victime est connectée en tant qu’administrateur du
domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas
d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».
Locky
a fait récemment la démonstration de sa dangerosité en bloquant les
systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical
Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates
– après négociation, les criminels réclamaient au départ plus de 3,5 M$
– pour obtenir les clefs de déchiffrement et retrouver l’accès à ses
données.
Un ransomware qui rebondit grâce au Cloud
« 2016 est probablement l’année du ransomware. Au cours du seul
mois de février, nous avons déjà dénombré autant de tentatives
d’attaques contre nos clients que lors des cinq mois précédents cumulés »,
commente Marco Preuss, à la tête de l’équipe de recherche et de
développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours
du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.
Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus
aux postes de travail mais directement aux serveurs Web, preuve de la
volonté des cybercriminels d’exploiter le filon partout où c’est
possible. Par ailleurs, Netskope, éditeur spécialisée dans la
sécurisation des applications Cloud, a récemment expliqué
avoir détecté des phénomènes de diffusion de ransomware via le Cloud,
au travers de la fonction de synchronisation de fichiers que ces
services offrent à leurs utilisateurs.
• Au total l’an passé, le nombre des utilisateurs attaqués
dans le monde par des malwares ciblant des appareils Android a augmenté
de 48,3%
• Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016
Le cheval de Troie de cryptage (ransomware) Locky est toujours en
activité, et donc Kaspersky Lab en a identifié à ce jour plus de 60
variantes. Selon les analyses de la société, les internautes allemands
et français sont les plus exposés à ce risque, suivi par l’Afrique du
Sud, l’Autriche, l’Italie, les Etats-Unis, la Chine et l’Inde [1].
Locky utilise en particulier deux vecteurs d’attaque. Il arrive
notamment sur l’ordinateur par le biais de fausses factures jointes dans
un courriel. Dès que le document est ouvert, le logiciel malveillant
est téléchargé à partir d’Internet, à condition que les macros
nécessaires pour l’infection soient activées. Par ailleurs, Kaspersky
Lab a identifié des pages web légitimes sur lesquelles le malware Locky a
été implanté. Lorsqu’un utilisateur visite l’une de ces pages et que
les vulnérabilités logicielles correspondantes sont présentes sur son
ordinateur, Locky tente de s’installer automatiquement sur ce dernier.
Dans les versions les plus récentes, le malware se présente également
sous la forme d’une notification de fax ou de scanner. Une fois que
Locky [2] s’est frayé un chemin sur l’ordinateur infecté, le cheval de
Troie entame ses activités de cryptage puis exige de sa victime une
rançon [3].
« Les criminels qui se cachent derrière le ransomware Locky cherchent
à en tirer un maximum de profits », commente Marco Preuss, à la tête de
l’équipe de recherche et de développement de Kaspersky Lab en Europe.
« Locky n’est pas une blague mais l’œuvre de malfaiteurs qui y ont
investi une énergie considérable. »
2016 sera-t-elle l’année du ransomware ?
Les chevaux de Troie de racket et de cryptage ne sont pas des
nouveautés. Parmi les exemples connus figurent notamment Coinvault ou
Teslacrypt. En outre, les ransomwares mobiles, qui s’attaquent aux
utilisateurs d’Android, sont en progression constante. Selon le
Kaspersky Security Bulletin 2015/2016 [4], une attaque de ransomware sur
six en 2015 a été observée sur des appareils Android. Au total, l’an
passé, le nombre des utilisateurs attaqués par ce type de malware dans
le monde a augmenté de 48,3% [5].
Locky s’inscrit dans cette tendance. « 2016 est probablement l’année
du ransomware. Au cours du seul mois de février, nous avons déjà
dénombré autant de tentatives d’attaques contre nos clients que lors des
cinq mois précédents cumulés », souligne Marco Preuss.
De fait, Kaspersky Lab a déjà recensé plus de 40 000 tentatives
d’infection par un ransomware chez ses clients en février 2016.
L’Allemagne se situe au troisième rang mondial des pays les plus ciblés,
derrière la Russie et l’Inde.
Les conseils de sécurité de Kaspersky Lab
Pour se protéger contre une attaque de ransomware, Kaspersky Lab recommande les mesures de sécurité suivantes :
• Se méfier des pièces jointes : ne pas ouvrir les pièces jointes dans
les e-mails provenant d’expéditeurs inconnus. En outre, il est conseillé
de désactiver les macros dans les documents car Locky s’en sert pour
s’implanter sur un ordinateur.
• Réaliser des sauvegardes régulières, afin de pouvoir accéder à nouveau aux données cryptées en cas d’urgence.
• Mettre à jour les logiciels (système d’exploitation, navigateur et
tous les autres programmes utilisés) avec les derniers correctifs
disponibles.
• Installer de véritables solutions de sécurité : les solutions
antivirus modernes telles que Kaspersky Total Security – Multi-Device
[6] offrent une protection contre les infections. Des technologies
spéciales comme Activity Monitor de Kaspersky Lab permettent de
restaurer des données qui ont été cryptées de manière illicite et de
rétablir l’état initial du système.
• Ne pas céder au chantage : Kaspersky Lab recommande de ne pas payer la
rançon exigée mais plutôt d’avertir les autorités de toute tentative de
cyberracket. Les solutions de Kaspersky Lab identifient et bloquent
Locky sous l’appellation « Trojan-Ransom.Win32.Locky ». Les bases de
données de signatures ont été actualisées en conséquence dès le 7
février 2016. En outre, l’activité malveillante d’un processus Locky en
cours a déjà été reconnue par la technologie proactive d’analyse
comportementale de Kaspersky Activity Monitor [7], qui offre une
protection spéciale contre les ransomwares.
Le malware Locky évolue pour échapper aux outils de détection de
malwares. Et cible toujours autant les entreprises françaises. Le
rédaction de Silicon.fr, qui en a été une des ses victimes, peut
d’ailleurs en témoigner.
« Eteignez les ordinateurs immédiatement ». C’est la consigne que s’est vue intimer la rédaction de Silicon.fr
hier, vers 10h30. En cause : la découverte de fichiers comportant le
suffixe .locky sur un des serveurs de fichiers partagés de
NetMediaEurope, l’éditeur de notre publication. Le signe indiscutable
d’une contamination naissante par le ransomware Locky, un malware apparu
à la mi-février et qui multiplie les tentatives d’infection dans
l’Hexagone.
Locky chiffre un grand nombre de fichiers, en particulier tous ceux
ayant des extensions renvoyant à des vidéos, des images, des codes
source et des fichiers Office. Une fois les données verrouillées, les
cybercriminels demandent aux victimes de s’acquitter d’une rançon pour
retrouver l’accès à leurs données devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les données publiées par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
« Une nouvelle variante presque chaque jour »
Pour se propager, Locky se cache dans des e-mails (par exemple de
fausses factures Free, l’opérateur vient d’ailleurs – tardivement –
d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript déclenchant le téléchargement du malware. « Ce n’est malgré tout pas une attaque ciblée au sens où on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de réponse aux incidents de sécurité) de la société de conseil Solucom. Cette
technique peut s’automatiser à partir de l’adresse du destinataire. La
diversification des techniques de diffusion de l’infection témoigne par
contre de la volonté des cybercriminels d’échapper aux filtres anti-spam. »
Le ransomware se diffuse aussi via des sites infectés par les
cybercriminels, méthode qui semble être celle exploitée pour
contaminer l’éditeur de Silicon.fr. « Le site va utiliser
un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide
plusieurs codes d’exploitation de vulnérabilités pour des produits web
(navigateurs web, plug-in Flash, Java, Silverlight…) », détaille
Vincent Nguyen. Objectif : repérer une des vulnérabilités ciblées par le
kit dans le navigateur web des visiteurs pour exécuter un code
malveillant qui va déclencher l’innoculation du ransomware.
Et ça marche, comme peut en témoigner Apicomm, le prestataire chargé de la gestion du parc de NetMediaEurope. « Une nouvelle variante de Locky apparaît presque chaque jour afin d’échapper aux outils de détection », confirme Rémy Fontaine, son responsable entreprise. Qui précise : « depuis
ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est
détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse,
car elle chiffre tout sur le partage réseau en utilisant la découverte
réseau de Windows, alors que la précédente mouture du malware se basait
sur les lettres des lecteurs réseaux ». Pour Apicomm, en cas
d’infection, la première chose à faire consiste à débrancher le câble
réseau et même à éteindre les PC. « En effet, sur les dernières
variantes, le fait de couper le réseau empêche la communication entre
Locky et le serveur des hackers et donc interrompt le chiffrement.
Normalement, le fait de relancer la machine suffit à désactiver le
malware », détaille Rémy Fontaine, dont la société est déjà
intervenue sur 5 serveurs infectés par les premières variantes et sur
deux autres touchés par les dernières moutures. Pour tenter d’enrayer le
malware, la société a développé une stratégie de groupe (GPO,Group
Policies Object) sur les serveurs permettant de bloquer l’exécution de
Locky dans APPDATA, le répertoire où il a l’habitude de se loger.
« Le phénomène touche toutes les entreprises, les plus grandes y compris »,
assure Vincent Nguyen. Solucom, dont l’activité se concentre sur les
grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le
sujet et est intervenu, sur site, chez deux de ses clients. « L’un
d’entre eux était touché par 5 souches de ransomwares différentes en
même temps. C’est ce qui rend la situation complexe, car on n’a pas
affaire à une menace unique : aux multiples variantes de Locky
s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont
toujours un coup de retard », explique le responsable technique du CERT de Solucom, société qui vient de publier quelques conseils sur les façons de réagir à une infection par ransomware.
Locky mute par algorithme
Comme l’explique Cyrille Badeau, le directeur
régional de l’éditeur ThreatQuotient, spécialisé dans l’intelligence sur
la menace, les malwares mutent en permanence pour contourner les lignes
de défense, ce qui explique pourquoi des entreprises même à jour sur
leurs technologies de lutte contre les menaces sont piégées… pour peu
qu’un utilisateur clique sur un fichier malicieux. « Si on compare
une attaque complexe à une molécule composée d’atomes, même si les
méthodologies d’attaque, soit la structure des molécules, évoluent très
lentement du fait de l’importance du coût associé, les hackers sont
capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis
plusieurs années, de campagne en campagne, ils remplacent certains
atomes devenus trop facilement détectables par de nouveaux éléments
ayant le même rôle, mais apparaissant pour la première fois. »
Et Cyrille Badeau de noter que, dans le cas de Locky,
l’automatisation des attaques s’est accentuée avec l’utilisation de
serveurs de contrôle et de commande (serveurs dits C&C qui pilotent
les virus) générés par algorithme. « Impossible pour les défenseurs de prévoir le prochain C&C à surveiller », résume-t-il. Un site comme RansomwareTracker les référence au fil de l’eau, mais une fois les premières infections détectées.
Un Javascript à la place des macros Office
Si la France figure parmi les principaux pays victimes du
rançongiciel, le phénomène est global. Les laboratoires SpiderLabs de la
société Trustwave estiment
que 18 % des 4 millions de spams qu’ils ont analysé dans le courant de
la semaine dernière sont liés à des ransomware. Et Locky est la star
actuelle dans cette famille d’infections. Les SpiderLabs notent une accélération importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces
campagnes (d’envoi de spams visant à diffuser l’outil de téléchargement
du virus) ne sont pas continues, mais concentrées, avec des pics à 200
000 e-mails infectieux arrivant sur nos serveurs en une seule heure », écrit Rodel Mendrez, un chercheur de Trustwave.
Et la société de mettre en garde contre la diffusion par spam de
scripts Javascript (encapsulés dans des fichiers Zip) déclenchant le
téléchargement de Locky, une autre technique exploitée par les
cybercriminels. Objectif de la compression en .zip et de l’envoi d’un
fichier de petite taille : laisser penser que ledit fichier est bénin.« Nous pensons que le passage au Javascript vise à esquiver les technologies antimalware », renchérit McAfee dans un billet de blog.
Cette méthode, aux côtés de celles basées sur de fausses notifications
de scanners ou imprimantes et sur la diffusion par des sites infectés,
semblent avoir supplanté la première technique de dissémination employée
par les cybercriminels, une approche exploitant les macros Office.
500 000 connexions venant de France
Les statistiques fournies par un autre fournisseur d’outils de
sécurité, Fortinet, témoignent aussi de la large diffusion de Locky. Sur
la base des connexions aux serveurs de commande et contrôle des
ransomware détectées par ses sondes de détection d’intrusion (soit 18,6
millions de connexions entre le 17 février et le 2 mars), la société estime
que 16,5 % d’entre elles sont liées à Locky. C’est certes beaucoup
moins que les connexions dues à la famille Cryptowall (plus de 83%),
mais Locky est, contrairement à son aîné, clairement surreprésenté en France,
l’Hexagone pesant quelque 15 % des connexions totales dues à la
nouvelle terreur des services IT. Ce qui représente, pour les seules
sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande
et contrôle Locky issues de France, dans le courant de seconde moitié
de février.
Les statistiques de Fortinet sur Locky.
Locky a récemment fait la démonstration de sa dangerosité outre
Atlantique, en bloquant les systèmes d’un hôpital de Los Angeles, le
Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates –
après négociation, les criminels réclamaient au départ plus de 3,5 M$ –
pour obtenir les clefs de déchiffrement et retrouver l’accès à ses
données. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne
permet à ce jour de restaurer les fichiers chiffrés par Locky sans
posséder la clef que vendent les cybercriminels, même si des travaux
sont en cours pour tenter de trouver des solutions de contournement.
L’hôpital américain pris en otage par un ransomware a décidé de payer
environ 15 000 euros en bitcoin pour reprendre la main sur son SI.
Le Hollywood Presbyterian Medical Center est devenu un établissement
de santé très médiatique. Pas nécessairement pour ses compétences
médicales, mais plutôt pour sa faiblesse en matière de sécurité
informatique. En effet, en début de semaine, on apprenait que l’hôpital avait été victime d’un ransomware,
bloquant une bonne partie du système d’information. Selon les
informations de la presse américaine, le cybercriminel demandait 9000
bitcoins, ce qui représente à peu près 3,2 millions d’euros pour un
retour à la normale.
Après quelques jours d’incertitudes et d’emballement médiatique, le
responsable du centre médical, Allen Stefanek, est sorti de son silence
pour donner quelques détails. Le plus important est qu’il a été obligé
de payer une rançon pour reprendre le contrôle des PC. Mais les sommes
annoncées ne sont pas mirobolantes, le dirigeant explique qu’il a versé
« 40 bitcoins soit l’équivalent de 17 000 dollars (15 000 euros) ». Il
justifie ce paiement comme étant, « la façon la plus rapide et la plus efficace pour restaurer notre système et les fonctions administratives ». Aucun détail n’a été fourni sur le niveau réel de cette attaque, mais Allen Stefanek assure « les soins des patients n’ont pas été affectés, ni les dossiers des patients ».
Les entreprises n’hésitent plus à payer
Pour autant, des mesures de sécurité ont été prises pour palier le
blocage du système. Les urgences ont été redirigées vers un autre
hôpital, le personnel de santé redécouvre les crayons et le papier pour
enregistrer les informations patients et le fax pour communiquer avec
les autorités. L’attaque a eu lieu le 5 février dernier, mais la
direction de l’hôpital a attendu la semaine dernière pour informer la
police de Los Angeles du problème. Le FBI est aussi de la partie en
prenant en charge l’enquête. A noter que la rançon a été payée avant que
les autorités judiciaires soient sollicitées.
Cette attaque apporte plusieurs enseignements. Le premier est la
montée en puissance inexorable des rançongiciels. Les cybercriminels
redoublent de sophistication, allant de la programmation (JavaScript) ou de l’intégration du service client avec un chat. La création d’un ransomware est un investissement très lucratif.
Surtout que les entreprises n’hésitent pas à payer pour déverrouiller
les PC infectés. Une étude de Skyhigh montre que près d’un quart des
entreprises sont prêtes à payer une rançon et 15% seraient capables d’y
mettre 1 millions de dollars. La nouvelle plaie de la sécurité pourrait
être combattue, mais cette bataille nécessite une politique un peu plus volontariste des autorités.
Spécialisé dans le vol de données bancaires, Dridex est toujours
actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la
France, avertit le CERT-FR et une société de sécurité.
Le botnet Dridex, que les autorités expliquaient avoir démantelé il y
a deux semaines, serait toujours actif… et ciblerait en particulier la
France. La société américaine, spécialiste de la sécurité des points
d’accès, Invincea explique en effet avoir détecté 60 instances du botnet
ciblant des utilisateurs français avec le malware Dridex, spécialisé
dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit Invincea.
Selon la société, qui explique que ses observations portant sur le
retour du botnet remontent au 22 octobre, le malware envoyé par les
cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.
La menace est confirmée par le CERT-FR, qui a émis une alerte au sujet de Dridex le 23 octobre. « Depuis
la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague
de pourriels (de type Dridex, NDLR) dont le taux de blocage par les
passerelles anti-pourriel est relativement faible », écrit
l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi
(Agence Nationale de la Sécurité des Systèmes d’information). Le centre
note que ces courriels sont souvent écrits dans un français sans faute.
Radical : désactiver les macros
Une capture d’écran fournie montrant le nom des fichiers et fournie par Invincea.
L’attaque prend en effet la forme d’une campagne de phishing, des
mails renfermant des documents Microsoft Office qui semblent renfermer
des factures émanant de magasins, d’hôtels ou d’organismes divers (la
fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents,
une macro VBScript ou Visual Basic est employée pour assembler le
malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à
construire la souche infectieuse directement sur le poste de la cible,
afin d’échapper aux défenses basées sur le monitoring de réseau ou les
bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le
port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés
au Japon, via le port 473. Si Dridex est susceptible d’échapper à la
vigilance de certains antivirus, une désactivation de la fonction
d’exécution automatique des macros Office permet de lui couper les
ailes, rappelle le centre de réponse aux incidents de l’administration
française.
Suite à l’arrestation d’individus soupçonnés de liens avec le
cybercrime l’été dernier, le FBI américain, en partenariat avec les
autorités britanniques, a annoncé mi-octobre le démantèlement des
infrastructures de commande et contrôle de Dridex. Repéré en novembre
2014, le malware a infecté des entreprises dans plus de 26 pays,
engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
De son côté, Lexsi a publié ses observations sur Dridex & Bruteres. Une vue sur les mécanismes du botnet utilisé pour envoyer massivement des millions de pourriels via seulement une trentaine de serveurs SMTP.
Hier, le FBI, la NCA (la National
Crime Agency est une agence du Royaume-Uni) et bien d’autres agences
gouvernementales autour du monde ont agit contre l’un des malwares les
plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.
Les services américains et anglais, accompagnés d’autres autour du
monde ont mené une action conjointe pour faire tomber une grosse partie
du réseau “botnet” de l’organisation criminelle. Un
botnet est un réseau de machine zombie servant à infecter d’autres
machines et à diffuser un virus informatique. Ce sont les serveurs
servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état
de nuire par le FBI avant d’être saisis. Les agences gouvernementales
ont aussi procédé à des arrestations de personnes suspectées
d’appartenir au réseau criminel.
Dridex detections during 2015
Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus
en juin 2014. Dridex est donc un réseau botnet, dont le principal but
est de récupérer les données bancaires pouvant être présentes sur les
ordinateur infectés. Même si l’équipe derrière le virus a souvent changé
de méthode d’infection, la plus répandue reste l’infection par mail.
Top ten countries by number of Dridex detections in 2015
Le virus exploite une faille bien connue dans la sécurité
informatique : le facteur humain. Des mails de spam sont envoyés par les
machines infectées avec à l’intérieur, des liens vers de fausses pages
web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office
ont l’avantage de ne pas trop attirer l’attention, la majorité des gens
étant plus au courant des menaces transmises via les URL que de la
possible dangerosité d’un document Word. Ces derniers
peuvent pourtant exécuter des macros à l’ouverture, permettant le
téléchargement du malware en lui même. Ce dernier se chargera ensuite de
récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se
cacher sur les clés USB et autres appareils reliés à l’ordinateur
infecté.
Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.
Bugat Botnet Administrator Arrested and Malware Disabled
U.S. Department of Justice October 13, 2015
A sophisticated malware package designed to steal banking and other
credentials from infected computers has been disrupted, and charges have
been filed in the Western District of Pennsylvania against a Moldovan
administrator of the botnet known as “Bugat,” “Cridex” or “Dridex.”
Actions taken by the U.K. and the U.S. substantially disrupted the
botnet.
Assistant Attorney General Leslie R. Caldwell of the Justice
Department’s Criminal Division, U.S. Attorney David J. Hickton of the
Western District of Pennsylvania and Special Agent in Charge Scott S.
Smith of the FBI’s Pittsburgh Division made the announcement today.
Andrey Ghinkul, aka Andrei Ghincul and Smilex, 30, of Moldova, was
charged in a nine-count indictment unsealed today in the Western
District of Pennsylvania with criminal conspiracy, unauthorized computer
access with intent to defraud, damaging a computer, wire fraud and bank
fraud. Ghinkul was arrested on Aug. 28, 2015 in Cyprus. The United
States is seeking his extradition.
“The steps announced today are another example of our global and
innovative approach to combatting cybercrime,” said Assistant Attorney
General Caldwell. “Our relationships with counterparts all around the
world are helping us go after both malicious hackers and their malware.
The Bugat/Dridex botnet, run by criminals in Moldova and elsewhere,
harmed American citizens and entities. With our partners here and
overseas, we will shut down these cross-border criminal schemes.”
“Through a technical disruption and criminal indictment we have
struck a blow to one of the most pernicious malware threats in the
world,” said U.S. Attorney Hickton.
“Cyber criminals often reach across international borders, but this
operation demonstrates our determination to shut them down no matter
where they are,” said Executive Assistant Director Robert Anderson Jr.
of the FBI’s Criminal, Cyber, Response and Services Branch. “The
criminal charges announced today would not have been possible without
the cooperation of our partners in international law enforcement and
private sector. We continue to strengthen those relationships and find
innovative ways to counter cyber criminals.”
According to the indictment, Ghinkul was part of a criminal
conspiracy that disseminated Bugat, which is a multifunction malware
package that automates the theft of confidential personal and financial
information, such as online banking credentials, from infected computers
through the use of keystroke logging and web injects. It is generally
distributed through “phishing,” an e-mail fraud method where
legitimate-looking e-mails are distributed to victims in an attempt to
obtain personal or financial information. Bugat is specifically designed
to defeat antivirus and other protective measures employed by victims.
The FBI estimates at least $10 million in direct loss domestically can
be attributed to Bugat.
The indictment alleges that Ghinkul and his co-conspirators used the
malware to steal banking credentials and then, using the stolen
credentials, to initiate fraudulent electronic funds transfers of
millions of dollars from the victims’ bank accounts into the accounts of
money mules, who further transferred the stolen funds to other members
of the conspiracy. Specifically, according to the indictment, on Dec.
16, 2011, Ghinkul and others allegedly attempted to cause the electronic
transfer of $999,000 from the Sharon, Pennsylvania, City School
District’s account at First National Bank to an account in Kiev,
Ukraine, using account information obtained through a phishing e-mail.
In addition, Ghinkul and others allegedly caused the international
transfer on Aug. 31, 2012, of $2,158,600 from a Penneco Oil account at
First Commonwealth Bank to an account in Krasnodar, Russia, and the
international transfer on Sept. 4, 2012, of $1,350,000 from a Penneco
Oil account at First Commonwealth Bank to an account in Minsk, Belarus.
Finally, the indictment alleges that on Sept. 4, 2012, Ghinkul attempted
to cause the electronic transfer of $76,520 from a Penneco Oil account
at First Commonwealth Bank to an account in Philadelphia. In all three
instances, the company’s account information was allegedly obtained
through a phishing e-mail sent to a Penneco Oil employee.
In addition to the criminal charges announced today, the United
States obtained a civil injunction in the Western District of
Pennsylvania authorizing the FBI to take measures to redirect automated
requests by victim computers for additional instructions to substitute
servers.
The charges and allegations contained in an indictment are merely
accusations. The defendant is presumed innocent until and unless proven
guilty.
The investigation is being conducted by the FBI. Other agencies and
organizations partnering in this effort include: the Department of
Homeland Security’s U.S.-Computer Emergency Readiness Team (US-CERT),
the United Kingdom’s National Crime Agency, Europol’s EC3, German
Bundeskriminalamt (BKA), Dell SecureWorks, Fox-IT, S21sec, Abuse.ch, the
Shadowserver Foundation, Spamhaus and the Moldovan General Inspectorate
of Police Centre for Combating Cyber Crime, the Prosecutor General’s
Office Cyber Crimes Unit and the Ministry of Interior Forensics Unit.
The case is being prosecuted by Assistant U.S. Attorneys Mary McKeen
Houghton and Margaret E. Picking of the Western District of
Pennsylvania. The civil action to disrupt the Bugat malware is led by
Senior Trial Attorney Richard D. Green of the Computer Crime and
Intellectual Property Section and Assistant U.S. Attorney Michael A.
Comber of the Western District of Pennsylvania. The Criminal Division’s
Office of International Affairs provided significant assistance
throughout the criminal and civil investigations.
Victims of Bugat/Dridex may use the following webpage created by US-CERT for assistance in removing the malware: https://www.us-cert.gov/dridex.
Anyone claiming an interest in any of the property seized or actions
enjoined pursuant to the court orders described in this release is
advised to review the court documents below for notice of the full
contents of the orders.
Arrestations de deux hommes, un russe et un moldave, soupçonnés
d’avoir des rôles clefs dans le développement et la maintenance de
Citadel et de Dridex, des programmes malveillants sophistiqués spécialisés dans le vol d’identifiants et de données bancaires.
Le premier homme, un moldave de 30 ans, était recherché par les
autorités U.S. Il a été appréhendé par les autorités locales le vendredi
28 août 2015 alors qu’il passait ses vacances avec sa femme dans la
ville de Páfos à Chypre. Il serait à lui seul responsable de fraudes
bancaires estimées à ~ 3.5 millions de dollars. L’homme est une figure
du « Business Club », un gang de l’Europe de l’Est connu pour avoir
subtilisé plus de 100 millions de dollars à des établissements bancaires
& financiers. Il serait fortement impliqué dans le développement de
Dridex que vous avez peut-être eu lors de campagnes de courriels malicieux avec pièces jointes en Word/Excel.
Le second homme, un russe de 27 ans, a été arrêté à Fredrikstad en
Norvège en octobre dernier. Au départ, les médias ont dressés le
portrait de l’inconnu à partir du sobriquet « Mark » et petit à petit
sont arrivés aux conclusions qu’il s’agirait peut être d’Aquabox, le
pseudo derrière Citadel, un malware basé sur le code de ZeuS , qui aurait facilité entre autre les piratages de plusieurs entreprises pétrochimiques européennes.
Cinq personnes ont été arrêtées en Ukraine soupçonnées d’être derrière les tristement réputés malwares bancaires ZeuS et SpyEye, dont l’un des dignes successeurs se nomme GameOverZeus.
Découvert en 2007, le malware bancaire Zeus permet de siphonner des comptes en ligne en toute impunité grâce à des techniques telles que le phishing et
autres spams. Grâce à elles, les pirates récoltaient mots de passe,
identifiants, numéro de comptes bancaires et toutes informations
nécessaires pour accéder à des comptes bancaires en ligne.
Grâce à l’action conjointe d’Europol et d’Eurojust, réunissant 6
pays, cinq cybercriminels ont été arrêtés entre le 18 et le 19 juin,
soupçonnés de faire partie du gang responsable du développement, de
l’exploitation et du déploiement des logiciels malveillants et chevaux
de Troie bancaires ZeuS et SpyEye ainsi que du blanchiment de l’argent
collecté. Par ailleurs, du matériel informatique a été saisi dans huit
maisons réparties dans quatre villes différentes en Ukraine.
Ces malwares seraient responsables de l’infection de
dizaines de milliers d’ordinateurs pour un préjudice financier évalué à
plus de 2 millions d’euros. En effet, le gang aurait utilisé ces
logiciels malvaillants pour attaquer des systèmes bancaires et
subtiliser l’argent de plusieurs banques en Europe et hors UE.
Chacun dans leur spécialité, ils créaient les logiciels, vérolaient les
systèmes, récoltaient les données bancaires et blanchissaient l’argent
volé, notamment grâce à des réseaux de « mules ». « Très actif », le gang louait parfois ses services à des tiers ou recherchait de « nouveaux partenaires
» pour réaliser leurs forfaits et échangeait notamment les informations
d’identification récoltées, précise Europol dans un communiqué.
« Europol a travaillé avec une équipe internationale
d’enquêteurs pour faire tomber un groupe cybercriminel très destructeur.
C’est l’une des opérations les importantes coordonnées par l’agence au
cours des dernières années », s’est ainsi félicité Rob Wainwright,
directeur d’Europol.
Cette opération fait partie intégrante d’une action plus large entamée depuis 2013 par l’équipe commune d’enquête (Joint investigation team,
JIT) regroupant l’Autriche, la Belgique, la Finlande, les Pays-Bas mais
aussi la Norvège et le Royaume-Uni et ayant abouti à 60 arrestations à
ce jour.
par Malekal_morte » 08 Sep 2015 23:11
Par 
Par 
Aucun commentaire:
Enregistrer un commentaire