Le 12 mai 2017, un ver informatique nommé WanaCrypt0r 2.0, ou WannaCry, infectait en masse des ordinateurs du monde entier. Nous vous proposons de revenir sur les dessous de l’affaire avec notre dossier sur ce malware inquiétant.

Lire la suite

Suggestions

En 2015, le danger posé par les supports connectés non-sécurisés avait fortement été médiatisé lorsque les données personnelles de plus de 3 millions de clients d’Hello Kitty, stockées sur une base de données MongoDB et laissée ouverte par défaut, avait été exposées. De nombreuses entreprises continuent de souffrir aujourd’hui de fuites massives occasionnées par cette absence de sécurisation comme illustré par l’affaire Ghostshell.

Lire la suite

Suggestions

Un groupe d’experts issus de grandes entreprises de cybersécurité a livré fin octobre une description très détaillée de l’économie du rançongiciel Cryptowall. Cette menace qui s’est largement répandue depuis juin 2014 aurait coûté 325 millions de dollars à des centaines de milliers de victimes.

Le 22 octobre, un cadre du FBI expliquait à propos de Cryptowall : “pour être honnête, nous recommandons souvent aux gens de simplement payer la rançon”.

Cryptowall est un des rançongiciels les plus répandus, aux côtés de TorrentLocker, TeslaCrypt et CTB-Locker. Ce malware est distribué au travers d’emails de phishing (environ deux tiers des infections) et via des sites web infectés (un tiers des infections).

Lorsque le virus est distribué via des pièces jointes d’email, c’est habituellement un fichier exécutable windows .scr compressé dans un fichier .zip pour amoindrir les chances de détection par antivirus. Il semble que les pirates aient progressivement délaissé l’infection par phishing depuis mai 2015.

Pour les sites web infectés, Cryptowall est surtout répandu via l’exploit kit Angler. Cet outil est rendu très puissant par le niveau technique et l’adaptabilité de ses concepteurs. Parmi ses atouts, on compte sa capacité à envoyer le payload dans la mémoire vive de l’ordinateur plutôt que dans le disque dur (infection sans déposer de fichier) et l’implémentation extrêmement réactive d’exploits de vulnérabilités zero-day dans les plugins habituels de navigateurs (Java, Flash ou Silverlight).

Lire la suite

Suggestions

On trouve depuis le mois de mai 2015 une offre croissante de Ransomware-as-a-Service sur le Dark Web. Un utilisateur sans compétences techniques peut s’affilier à un programme de rançongiciel dans lequel il se charge de la distribution et reverse une partie des profits au concepteur du malware.

Nous évoquions Tox au mois de mai, ce site web permettant de fabriquer en quelques clics un rançongiciel. L’utilisateur reçoit un fichier exécutable .scr qu’il n’a qu’à propager.

ORX-Locker est un nouveau rançongiciel préfabriqué pour lequel on trouve des publicités sur les forums du Dark Web. Son code est plus élaboré que celui de Tox, mais repose sur le même principe : toute victime doit payer en bitcoins sur un site hébergé sur Tor, sans quoi ses fichiers sont verrouillés puis effacés.

Lire la suite

Suggestions

La chaîne de magasins Carphone Warehouse a été piratée au mois d’août. Les attaquants auraient eu recours à une attaque par déni de service pour faire diversion et voler en parallèle les informations relatives à 2,4 millions de clients.

  • Les informations volées sont les noms, adresses et dates de naissance des clients. Pour 90 000 d’entre eux, les numéros de leurs cartes de paiement ont également été dérobés.
  • Les pirates auraient déployé une attaque par déni de service contre le système informatique de Carphone Warehouse lors de la compromission des bases de données.Ainsi, les équipes de sécurité auraient été trop occupées à remettre en marche les systèmes pour se rendre compte de l’exfiltration des données.

Lire la suite

Suggestions

Windows 10 est distribué depuis juillet 2015 grâce à des notifications Windows et emails. C’est une occasion intéressante pour les pirates d’employer des méthodes d’ingénierie sociale pour inciter les utilisateurs à télécharger des virus.

Le premier type de malware qui repose sur une fausse distribution de Windows 10 est CTB-Locker, un rançongiciel assez répandu. Dans cette campagne, un email semblant provenir de update@windows.com contient une pièce jointe censée permettre le téléchargement de Windows 10. C’est un fichier .zip qui déploie en fait CTB-Locker. En comparaison des autres rançongiciels comme Cryptowall, CTB-Locker a la spécificité de demander à la victime de payer le déblocage de ses fichiers en bitcoins sur un site hébergé sur Tor.

Au Brésil, une autre campagne utilise des emails similaires pour faire télécharger un malware aux victimes. Il s’agit d’un script VBE faisant place à une série de malwares permettant de capter les données de la victime.

Lire la suite

Suggestions