Quinze jours après l’arrêt mystérieux de la fameuse place de marché cybercriminelle Alphabay, c’est au tour d’Hansa Market, temporairement devenue successeur, de fermer ses portes. L’opération a été menée conjointement par les agences américaines du FBI et de la DEA (Drug Enforcement Agency), de la Police néerlandaise et Europol – qui, au passage, ont récupéré les données personnelles de tous les utilisateurs.

Lire la suite

Suggestions

Un groupe de pirates a affirmé le 7 février sur Twitter avoir mis la main sur 200Go de données appartenant au ministère de la Justice américain, et en a publié une partie concernant des employés fédéraux.

“J’ai cliqué dessus et j’avais accès à toute la machine”

Entre le 8 et le 9 février, les données de 17 785 employés du FBI et de 8 256 employés du Department of Homeland Security ont été publiées sur une plateforme permettant des échanges chiffrés, cryptobin.org. Bien que cette plateforme soit désormais inaccessible, les informations ont été disséminées sur d’autres sites et repérées dès le 8 février à une heure du matin (heure française) par les outils de CybelAngel.

Lire la suite

Suggestions

Un groupe d’experts issus de grandes entreprises de cybersécurité a livré fin octobre une description très détaillée de l’économie du rançongiciel Cryptowall. Cette menace qui s’est largement répandue depuis juin 2014 aurait coûté 325 millions de dollars à des centaines de milliers de victimes.

Le 22 octobre, un cadre du FBI expliquait à propos de Cryptowall : “pour être honnête, nous recommandons souvent aux gens de simplement payer la rançon”.

Cryptowall est un des rançongiciels les plus répandus, aux côtés de TorrentLocker, TeslaCrypt et CTB-Locker. Ce malware est distribué au travers d’emails de phishing (environ deux tiers des infections) et via des sites web infectés (un tiers des infections).

Lorsque le virus est distribué via des pièces jointes d’email, c’est habituellement un fichier exécutable windows .scr compressé dans un fichier .zip pour amoindrir les chances de détection par antivirus. Il semble que les pirates aient progressivement délaissé l’infection par phishing depuis mai 2015.

Pour les sites web infectés, Cryptowall est surtout répandu via l’exploit kit Angler. Cet outil est rendu très puissant par le niveau technique et l’adaptabilité de ses concepteurs. Parmi ses atouts, on compte sa capacité à envoyer le payload dans la mémoire vive de l’ordinateur plutôt que dans le disque dur (infection sans déposer de fichier) et l’implémentation extrêmement réactive d’exploits de vulnérabilités zero-day dans les plugins habituels de navigateurs (Java, Flash ou Silverlight).

Lire la suite

Suggestions

Malgré l’opération lancée conjointement par le FBI américain et l’Agence Nationale du Crime au Royaume-Uni à la mi-octobre, le malware Dridex est de nouveau actif et vise plus particulièrement les utilisateurs français.

Dridex est un malware spécialisé dans le vol d’informations bancaires. Il enregistre les données de connexion des victimes lorsque celles-ci se rendent sur le site de leur banque :

  • Il s’agit d’une version plus évoluée de Cridex, qui remonte à 2011.
  • Là où Cridex se répandait au moyen de sites web infectés, Dridex repose sur des documents contenant des macros piégées.
  • Repéré en novembre 2014, Dridex avait infecté des entreprises dans plus de 26 pays, engendrant de lourdes pertes financières (10 millions de dollars aux Etats-Unis et 20 millions de livres sterling au Royaume-uni).

La campagne lancée par les Etats Unis et le Royaume Uni avait résulté en plusieurs arrestations et des saisies de machines impliquées dans le botnet soutenant la progression et le fonctionnement du malware.

Lire la suite

Suggestions