Après une fuite de données, celles-ci sont souvent vendues sur le dark web. L’autre jour, je parlais à un de mes amis du dark web, cet endroit sinistre où des actes ignobles sont accomplis et où des biens et services interdits sont vendus et échangés.
À l’approche d’Halloween, ce conte était très approprié. Après m’avoir écouté, il a répondu : « J’aurais vraiment aimé que tu ne m’aies pas parlé du dark web. Je n’aime pas savoir qu’un tel endroit existe vraiment. »
Meurtres contre rémunération sur le dark web
Le dark web existe et c’est un endroit sombre et sinistre.
Lord Voldermort et les mangemorts ne s’y cachent peut-être pas, mais vous y trouverez les cartes d’appel et le butin de milliers de pirates et de cybercriminels des quatre coins du monde. Données de cartes de crédit volées, renseignements sur la santé des patients, drogues, meurtres, monnaies contrefaites, etc. tout y est. Ces biens et services illicites font l’objet d’une publicité sur le dark web, et les pirates sont à la recherche d’individus qui sont prêts à les acheter, et ce, uniquement en bitcoins. Le 15 décembre 2015, Forbes Magazine a publié un article intitulé “The Things You Can Buy on the Dark Web Are Terrifying.”, consacré aux choses illégitimes disponibles sur le dark web.
Alors, qu’est-ce que le dark web ?
Le web traditionnel, comme la plupart d’entre nous le savent, est l’endroit où nous vérifions nos emails, consultons les prévisions météo et achetons sur Amazon, entre autres. Il est connu sous le nom de clear web. Sachez qu’il ne représente que 4% de l’Internet. Les 96 % restants sont désignés sous le nom de deep web, un vaste secteur de l’Internet inaccessible aux moteurs de recherche traditionnels. La majorité du deep web est un espace légitime. Il se compose de zones sécurisées réservées à certains organismes ou catalogues de données qui exigent un certain type d’accès aux membres. Les données de nombreuses organisations scientifiques telles que la NASA constituent par exemple une partie du deep web.
Attaques menées par le groupe de pirate DarkOverLord
Il existe un petit secteur du deep web appelé dark web. Il ne s’agit certainement pas d’un endroit où vous voulez qu’on retrouve les dossiers médicaux de vos patients. Malheureusement, plus de 655 000 personnes ont été victimes d’une telle situation, suite à un trio d’atteintes à la protection des données qui se sont produites au cours des mois d’été. L’attaque a été commise par un groupe de pirates informatiques utilisant le nom « The DarkOverLord », ancien expert en ransomware qui a maintenant choisi de mener le jeu à un niveau plus élevé en volant les dossiers médicaux des patients. L’incident a été découvert lorsque le DarkOverLord a contacté les trois organismes de santé concernés pour les avertir que leurs bases de données de patients avaient été saisies et que des échantillons avaient été affichés sur RealDealMarket, un site sans scrupules sur le dark web où les cybercriminels vendent tout, des cartes de crédit volées aux drogues.
La fuite de données comprenait ce qui suit :
48 000 dossiers de patients d’une clinique de Farmington, une ville du Missouri, aux États-Unis. Les enregistrements ont été acquis à partir d’une base de données Microsoft Access en texte brut.
210 000 dossiers de patients provenant d’une clinique du centre du Midwest des États-Unis qui ont été saisis en texte brut. Les dossiers comprenaient les numéros de sécurité sociale, les prénoms et noms de famille, les initiales du deuxième prénom, les informations sur le genre, les dates de naissance et les adresses postales des victimes.
La plus grande attaque impliquait la violation de 397 000 dossiers d’une grande clinique basée à Atlanta, en Géorgie. Celles-ci comprenaient également les numéros d’assurance maladie primaire et secondaire et les numéros de police d’assurance des victimes. Comme pour les autres incidents, les données n’étaient pas chiffrées.
Le DarkOverLord exigeait une rançon pour les 655 000 dossiers de patients sur le dark web
Le DarkOverLord a exigé une rançon de 1 $ par dossier auprès de chacune des organisations et attribué une date limite distincte pour le règlement. Si ces demandes ne sont pas satisfaites aux dates fixées, ils menaçaient de vendre les dossiers à de multiples acheteurs. Le groupe de pirate prétend qu’il a communiqué avec les trois organisations avant de voler les dossiers des patients pour les informer qu’il avait violé leurs réseaux et qu’il demandait des fonds pour les informer de leurs vulnérabilités, mais celles-ci ne voulaient rien entendre. Sur un site d’informations qui rend compte de la communauté de piratage, il a déclaré : « La prochaine fois qu’un adversaire viendra à vous et vous offrira la possibilité de le cacher et de le faire partir pour une somme modique afin d’empêcher la fuite de données, acceptez l’offre ».
Les trois cliniques ont communiqué avec leurs patients pour les avertir de la brèche et du risque imminent de vol d’identités. Pour le cas de l’entreprise d’Atlanta, la police locale a déjà commencé à documenter les rapports de police des patients victimes ayant signalé que leur crédit a été compromis. Les trois organisations doivent maintenant subir d’importantes atteintes à leur crédibilité et à leur réputation, et des poursuites imminentes seront sans aucun doute intentées sous peu contre elles. Selon une étude réalisée en 2016 par le Ponemon Institute, le coût moyen par dossier volé dans le secteur des soins de santé est de 355 $ aux États-Unis et de 158 $ dans le monde.
À l’approche d’Halloween, nous avons tous beaucoup plus à avoir peur de simples fantômes et gobelins. Ce que nous devons vraiment craindre, c’est que nos données personnelles soient vendues au plus offrant dans cet endroit sans scrupules qu’est le dark web.
La communauté de cybersécurité croit généralement qu’il suffit qu’un pirate informatique arrive à compromettre un seul ordinateur dans une entreprise pour qu’il puisse lancer une attaque. L’administrateur réseau, par contre, doit protéger chaque périphérique pour réussir dans son travail.
Cette notion a été illustrée il y a deux mois lorsqu’un système scolaire en Géorgie (États-Unis) a été contraint de lutter contre une attaque virale à grande échelle pendant six semaines. L’analyse de la manière dont le malware a infiltré le système scolaire évoque la façon dont les cybercriminels peuvent s’attaquer aux plus petites vulnérabilités de votre réseau. Elle permet également de savoir comment les effets d’une telle attaque se sont propagés rapidement.
Retarder l’inévitable
Le système scolaire a mis en place un système de sécurité multicouche comprenant un pare-feu d’entreprise, une solution de filtrage web, un filtre antispam Office 365 complété par l’ATP, ainsi qu’une protection des terminaux. D’une manière générale, le système informatique de l’établissement était solidement protégé, à l’exception d’une petite poignée d’ordinateurs dans le service des transports.
Alors que le département informatique avait migré tous les postes de travail de l’école vers Windows 10 et mis à niveau tous les serveurs dotés d’un système d’exploitation antérieur à Server 2012 vers une version serveur actuelle, le département des transports retardait constamment ces mises à niveau. Les employés du département ont partagé une pléthore de fichiers sur un serveur Windows 2003 local et certains employés travaillaient encore avec des machines fonctionnant sous Windows XP. Les chefs de département ont toujours insisté sur le fait que le moment n’était pas propice à une mise à niveau chaque fois que la question a été évoquée.
Malheureusement, le virus Emotet a infecté le réseau de l’école à l’aide du kit d’exploitation EternalBlue. Plus tôt cette année, Emotet a coûté 314 000 $ à un district scolaire de la Caroline du Nord. Les attaques d’Emotet visent souvent des organisations éducatives. EternalBlue tire parti d’une vulnérabilité bien connue qui exploite Microsoft Server Message Block 1.0. SMB est un protocole de partage de fichiers en réseau qui permet aux applications sur un ordinateur de lire et d’écrire des fichiers et de demander des services. Le protocole SMBv1 est intégré à toutes les versions de Windows pour assurer la compatibilité avec les versions antérieures. Emotet, qui date de 2014, a été initialement publié comme un cheval de Troie bancaire. Depuis lors, il a évolué en une charge malveillante pour d’autres types de malwares et de chevaux de Troie.
La vulnérabilité a été découverte publiquement au début de l’année 2017. Suite à cela, Microsoft a publié le correctif MS17-010 en mars 2017 pour éliminer la vulnérabilité des plateformes actuelles. Ensuite, il a publié des correctifs pour Windows XP, Windows 8 et Server 2003, même si ces systèmes ne sont plus pris en charge. Malheureusement, il s’agissait d’une mise à jour hors bande, c’est-à-dire qu’elle exige que le personnel informatique télécharge et installe manuellement le correctif. Pour une raison ou une autre, le correctif publié n’a jamais été installé sur les machines obsolètes au sein du district scolaire.
Anatomie d’une infection virale
Bien qu’une enquête n’ait pas encore permis de découvrir comment le virus a été lancé pour la première fois, on croit qu’un employé du service des transports a cliqué sur quelque chose dans un e-mail. L’utilisateur utilisait une machine XP qui avait plusieurs lecteurs mappés sur le serveur Windows 2003 local. Une fois que le virus a établi une tête de pont au sein du département, il a commencé à infecter latéralement d’autres machines. En outre, il a impliqué l’infection des machines victimes avec des malwares de chiffrement, laquelle semblait être le principal objectif de l’attaque.
Les processus de cryptomining consomment des ressources du processeur, ce qui rend les machines pratiquement inutilisables. Dans l’ensemble du district scolaire, bon nombre de machines infectées ont planté sur l’écran bleu et été redémarrées tout au long de la journée en raison de la consommation de ressources. Le réseau informatique s’est également ralenti en raison des flux de trafic malveillants qui circulaient sur l’autoroute latérale SMB.
Comme le reste du système scolaire avait correctement mis à niveau ses machines vers les systèmes d’exploitation pris en charge, le virus avait besoin d’un autre moyen pour se propager. Un keylogger a été déposé sur les machines infectées. Il pouvait rapidement capturer les informations d’identification d’un technicien de support informatique disposant des droits d’administration du domaine. Avec les nouvelles informations d’identification, Emotet a alors commencé à désactiver la fonction de mise à jour de Windows Defender sur les postes de travail et les serveurs clés, y compris les contrôleurs de domaine.
Au bout d’une semaine, le virus a pu installer des chevaux de Troie récemment publiés sur ces ordinateurs en créant des tâches planifiées sous le compte de l’administrateur. Un module de spam d’Emotet a alors commencé à envoyer des spams malveillants aux utilisateurs dans tout le district, en utilisant plusieurs versions d’une facture qui nécessitait de l’attention. Plusieurs utilisateurs sont tombés dans le piège et leurs machines ont été infectées. D’autres dispositifs ont obtenu le virus à partir de partages qui résidaient sur des serveurs infectés. Emotet a ensuite déployé le cheval de Troie bancaire Trickbot, lequel a ciblé rapidement les systèmes effectuant des transactions financières. Heureusement, le logiciel financier a détecté le virus et a refusé la connexion à un site bancaire externe.
Comment le département informatique a-t-il maîtrisé le virus ?
Ne connaissant pas l’état de la protection des terminaux pour ses machines, les employés du département informatique se sont d’abord efforcés de désactiver SMBv1 sur toutes les machines. Ainsi, le réseau a commencé à accélérer. Par ailleurs, une stratégie de groupe Windows a été créée pour empêcher la création de tâches planifiées sur le réseau. Ils ont téléchargé manuellement les mises à jour les plus récentes de Windows Defender et les ont installées sur toutes les machines qui étaient en retard sur les mises à jour. Enfin, ils ont exécuté Autoruns for Windows et supprimé tous les processus et fichiers qui passaient par l’application Trojan.
Au total, il a fallu 6 semaines complètes pour que le département informatique, surchargé, puisse maîtriser, endiguer et éliminer le virus. Depuis lors, il a créé de nouvelles politiques informatiques concernant les mises à niveau et les correctifs obligatoires pour tous les systèmes informatiques. En outre, ils ont mis fin à la pratique du partage interne de fichiers, exigeant que tout le personnel partage les fichiers dans le cloud.
Le fait est que tout cela aurait pu être évité s’il n’y avait pas eu négligence de deux principes clés de l’hygiène en matière de cybersécurité :
Mettre à niveau tous les systèmes d’exploitation et périphériques non pris en charge.
Toujours s’assurer que tous les appareils sont correctement mis à jour.
Malheureusement, les pirates informatiques peuvent facilement savoir si votre organisation utilise Office 365. Ils peuvent le faire parce que vous le diffusez dans le monde entier sur vos enregistrements DNS MX publics. Le fait de savoir que vous êtes abonné à Office 365 peut influencer la façon dont ils lancent une attaque sur votre réseau. Cela leur donne un avantage énorme dès le départ.
De nombreuses entreprises utilisent une approche de sécurité multicouche pour leurs e-mails. La raison est qu’elles trouvent les solutions proposées par les fournisseurs de sécurité dédiés plus efficaces, flexibles et moins coûteuses, comparées à la protection avancée contre les menaces de Microsoft qui nécessite des licences et des coûts supplémentaires.
Vous venez de recevoir un rapport de votre hébergeur ou d’un tiers indiquant que votre site héberge du contenu de phishing ? Bien que votre premier réflexe puisse être de supprimer les fichiers, de changer les mots de passe et de tout mettre à jour le plus rapidement possible, ce serait une grosse erreur. En prenant quelques minutes pour recueillir des informations, vous obtiendrez un meilleur résultat.
Dans cet article, nous discuterons de ce qu’il faut faire si votre site web a été infecté par un contenu de phishing et comment trouver les vulnérabilités et nettoyer votre site. Selon le type d’hébergement que vous avez choisi, votre fournisseur peut être en mesure de vous aider. Quoi qu’il en soit, je vous recommande de consulter un professionnel qui a déjà traité ce genre de question.
Étape 1 – Trouvez la source de l’infection
Il est primordial de trouver la source de l’infection. Ne faites aucun changement avant de mener une enquête complète, car cela réduit vos chances de trouver la source. Les hackers sont très bons pour couvrir leurs traces. De plus, la vulnérabilité d’origine n’est généralement exploitée qu’une seule fois pour télécharger son propre malware. La plupart des indices n’indiqueront pas l’attaque initiale, à moins que les pirates n’aient été négligents. Donc, vous avez besoin de tous les indices disponibles.
Outre le fait de rechercher les vulnérabilités du site, vous devez trouver tout le contenu de phishing téléchargé. Il y en a probablement plus d’un. Les sites de phishing sont particulièrement difficiles à trouver puisqu’ils sont conçus pour ne pas perturber votre site. Leur contenu semble être normal pour les scanners, ce qui rend la détection automatisée inefficace.
Comment l’infection par le contenu de phishing se produit-elle ?
Avant d’entrer dans les détails, il importe de comprendre comment et pourquoi les sites sont infectés par un contenu de phishing. Souvent, les pirates utilisent des ordinateurs compromis pour héberger des contenus et actions malveillantes, y compris le vol d’identité, la fraude financière, ainsi que la collecte de données sensibles auprès des victimes pour une utilisation illégale future. D’autres pirates le font dans le but d’obtenir un contrôle administratif sur les sites web légitimes des entreprises et organisations afin de pouvoir dissimuler leurs activités de phishing.
Le but d’un site de phishing est d’accéder aux informations d’identification d’un utilisateur. Les cibles les plus communes sont les banques et les grandes entreprises comme Apple, Ebay, Google, Paypal et Microsoft. Mais en réalité, toute organisation ou entreprise de toute taille peut être une cible. Les entreprises ont leurs propres équipes de sécurité dédiées et elles reçoivent également de l’aide de la part des agences gouvernementales et de sociétés de sécurité privées. Par conséquent, les sites de phishing sont normalement découverts et éliminés assez rapidement.
Cela oblige les pirates informatiques à utiliser rapidement des outils automatisés pour gérer le réseau de sites et de serveurs de messagerie qu’ils ont piratés. Par conséquent, tout obstacle que mettez en place pourrait réduire les chances que les pirates informatiques ciblent votre site. Il est beaucoup plus efficace pour eux de passer au prochain site non sécurisé.
Les raisons les plus courantes qui amènent les cybercriminels à attaquer un site ou un serveur sont les mises à jour non appliquées, les sites mal sécurisés pendant leur conception, les mots de passe faibles et les scripts personnalisés non sécurisés. Pour en savoir plus, vous pouvez lire notre récent article sur la nécessité de mettre à jour vos applications et d’utiliser des mots de passe forts.
Lors de sa conception, votre site est-il sécurisé ?
Il y a une chose que même les administrateurs expérimentés négligent parfois : la sécurité de leur site lors de sa conception. Si des pirates parviennent à accéder à votre compte via une vulnérabilité sur votre site pendant cette phase, ils auront également accès à votre site habituel. Par ailleurs, il est fortement recommandé de supprimer tout site en phase de conception ou d’essai une fois les travaux terminés.
Enquêtez sur la sécurité des réseaux
Lors d’une enquête de sécurité, prenez des notes détaillées sur ce que vous découvrirez au fur et à mesure de votre progression. Tâchez de ne pas enlever ni de modifier aucun détail. Notez le chemin complet vers tous les sites de phishing que vous trouverez, ainsi que les fichiers malveillants, les injections de code et les scripts contenant du code non sécurisé. Gardez également trace de leurs horodatages et de toutes les entrées de journal connexes. Ensuite, vous pouvez utiliser ces informations pour déterminer la meilleure marche à suivre et pour supprimer les éléments malveillants.
Souvent, vous recevez un rapport sur des dossiers spécifiques. Mais parfois, l’information dont vous disposez est limitée. Plusieurs experts en matière de sécurité informatique à qui j’ai parlé aiment utiliser Sucuri Sitecheck pour vérifier s’il y a des problèmes connus.
https://sitecheck.sucuri.net/
Pour cet exemple, nous avons un rapport d’un lien de phishing pointant sur notre site WordPress qui s’exécute sur un serveur cPanel.
http://www.example.com/Apple/securelogin.html
C’est un exemple de base des tactiques les plus courantes utilisées par les pirates informatiques. Il y a beaucoup de variantes et, franchement, même les professionnels sont parfois perplexes. En réalité, les pirates informatiques sont intelligents et changent constamment de tactique.
Cela dit, la plupart des professionnels de la sécurité abordent une enquête de phishing sans jamais avoir vu le site et sans connaître le codage personnalisé. La procédure décrite ci-dessous peut sembler fastidieuse, mais avec un peu de pratique, vous pouvez faire une recherche complète et nettoyer un site web de taille standard en 10 à 15 minutes. C’est valable pour un serveur web Apache Linux/Unix.
Tout d’abord, examinez l’horodatage des dossiers infectés
Pour commencer, vous devez examiner les horodatages des fichiers concernés. Vous n’avez pas modifié ou supprimé les fichiers, n’est-ce pas ? Si oui, ne vous inquiétez pas. Vous trouverez probablement d’autres fichiers malveillants plus tard lors de votre enquête.
Pour voir l’horodatage complet, vous devez utiliser la commande « stat ». Utilisez-le sur le fichier que vous connaissez déjà.
Si vous regardez de près les informations ci-dessus, vous pouvez voir que les dates de modification sont différentes. « Modify » fait référence au contenu du fichier, tandis que « Change » fait référence aux métadonnées (nom de fichier, autorisations, etc.). La date de modification est généralement la plus importante, mais les deux peuvent être nécessaires pendant l’enquête.
Étape 2 – Comparez aux journaux
Maintenant que vous avez le temps de connaître le moment où certains des changements ont eu lieu, vous pouvez les comparer aux journaux. Les journaux d’accès Apache sont le meilleur endroit pour commencer. Si rien ne se trouve dans Apache, vous trouverez probablement un téléchargement dans les journaux FTP ou cPanel. Puisque les journaux Apache sont l’endroit le plus courant pour trouver les informations dont vous avez besoin, nous allons nous concentrer sur ce sujet.
La plupart du temps, vous devez voir les commandes POST afin de filtrer les journaux pour le POST ainsi que la date et l’heure.
# grep POST /usr/local/apache/domlogs/user/example.com|grep ‘10/Apr/2015:15’|less
Les horodatages ne correspondent pas exactement. Apache enregistre le temps d’accès au début de la transaction, tandis que le système de fichiers enregistre la date de la dernière écriture dans le fichier. Gardez cela à l’esprit lorsque vous consultez les journaux.
Base de données ARIN et GeoIP
Dans ce cas, vous trouverez plusieurs centaines d’entrées comme celle ci-dessous. Veuillez noter qu’il ne s’agit que d’un exemple et que l’adresse IP n’est donc pas valide.
Il y a plusieurs signes évidents d’activités malveillantes dans cet enregistrement. Pourquoi y a-t-il un fichier PHP dans le répertoire de téléchargement ? Cette zone est normalement réservée aux images et aux documents. Il ne devrait pas être là. Il utilise également HTTP 1.0 et ne fournit pas de lien référer qui sont des signes d’une requête chiffrée. Et la requête est identifiée comme Googlebot, mais si vous vérifiez l’adresse IP dans la base de données ARIN ou l’outil GeoIP, vous verrez qu’elle n’appartient pas à Google.
Maintenant que vous avez un tracé à suivre, examinez le fichier « xXx.php ».
Exemple :
# cd wp-content/uploads/2013/06
# stat xXx.php
stat: cannot stat ‘xXx.php’: No such file or directory
Comment est-ce possible ? Le fichier a été déplacé ou supprimé par l’attaquant pour vous écarter de la piste. C’est une tactique courante, mais elle ne vous ralentira pas trop. Le fichier devrait être retrouvé plus tard s’il a été déplacé. Pour l’instant, vous pouvez passer à l’indice suivant : l’heure du changement. Examinez à nouveau les journaux à la recherche de l’heure de changement que vous avez vue plus tôt. Il devrait maintenant y avoir un lien vers un fichier différent utilisant une nouvelle adresse IP et un nouvel agent utilisateur.
Cette requête ne semble pas être chiffrée comme la précédente. Cependant, elle POSTE un fichier dans le thème suivant, ce qui est inhabituel. Examinez le contenu du dossier pour voir si vous pouvez découvrir ce qu’elle faisait.
C’est du code PHP obfusqué qui ne signifie pas nécessairement qu’il est malveillant. Il y a de bonnes raisons de le faire et cela pourrait vraiment faire partie du thème. Vous pouvez utiliser UnPHP.net pour le décoder. Bien que ce service ne le décode pas toujours complètement, il vous donnera généralement suffisamment d’informations pour déterminer s’il est malveillant ou dangereux.
Si vous parvenez à décoder le script, vous constaterez qu’il s’agit d’un script standard pour télécharger des images (pour ce cas précis, je ne voulais pas inclure de vrai code malveillant). De toute façon, ce fichier a été utilisé par l’attaquant. Ajoutez-le à votre liste et continuez à suivre le tracé en faisant correspondre les horodatages des fichiers aux entrées du journal.
Quand arrêter l’enquête ?
Si vous suivez ce même processus sur le fichier « js.php », vous constaterez peut-être qu’il mène à un autre fichier à tracer ; qu’il indique une vulnérabilité dans notre application ou notre thème ; ou même qu’il pourrait pointer vers lui-même. Mais supposons que dans ce cas, vous n’avez rien trouvé de suspect dans les registres.
C’est bien, mais parfois ce n’est pas si évident. Filtrez les logs de manière un peu différente cette fois-ci pour voir tous les POST de cette IP.
# grep POST /usr/local/apache/domlogs/user/example.com|grep 60.123.234.345|less
Vous devrez peut-être filtrer davantage les résultats pour trouver les informations importantes. Supposons que vous trouvez le script suivant :
Cela indique soit un mot de passe compromis, soit une vulnérabilité dans WordPress. Vous pouvez consulter les journaux plus en détail pour savoir de quel type il s’agit. Pour gagner du temps, à ce stade, je vous recommande d’appliquer les mises à jour si elles sont disponibles et de réinitialiser tous les mots de passe administrateur.
Cependant, vous ne devriez pas arrêter l’enquête à ce stade. Qu’il s’agisse du compromis initial ou non, il y aura probablement plus de fichiers malveillants que ce que nous savons. Bien souvent, il y a même plusieurs compromis distincts à l’avenir.
Continuez la recherche sur les fichiers et répertoires récemment modifiés
Maintenant que vous avez épuisé la liste des fichiers malveillants connus, vous devez faire preuve de créativité pour trouver les autres éléments. J’espère que vous n’avez pas encore modifié de fichiers, sinon les résultats de ces tests peuvent être faussés.
Pour cette partie de l’enquête, vous devez commencer dans le répertoire racine du document du compte de l’utilisateur affecté. Examinez la structure des répertoires et les fichiers les plus récemment modifiés à l’aide de la commande suivante :
# ls -lrt
Vous pouvez voir tout de suite des annuaires avec le nom de compagnies ou des répertoires qui ne suivent pas vos conventions de nommage. Cherchez également les fichiers dont les horodatages ne sont pas synchronisés avec les fichiers environnants. Vous devrez examiner le contenu et les entrées pertinentes du journal afin de détecter tout objet suspect que vous avez trouvé, comme vous l’avez fait précédemment.
Pour trouver la majeure partie du contenu du phishing, il est préférable d’examiner chaque répertoire à 2 ou 3 niveaux de profondeur à partir du répertoire racine du document. Dans chaque répertoire, examinez la structure du répertoire et le contenu des fichiers qui n’apparaissent pas à leur place. S’ils semblent malveillants, comparez-les aux journaux et, bien entendu, documentez tout.
Enfin, revenez au répertoire racine du document et effectuez quelques recherches ciblées. Commencez par rechercher tous les fichiers qui ont été modifiés au cours de la dernière semaine. Il se peut que vous ayez besoin d’augmenter les recherches sur les 30 ou 90 jours auparavant. Si la liste est trop longue, réduisez-la avec grep. Vous pouvez même filtrer les fichiers que vous connaissez déjà.
# find . -type f -mtime -7 | less
# find . -type f -mtime -7 | egrep -v ‘cache|log|Apple’ | less
Il est parfois utile de vérifier les fichiers contenant des changements récents. Dans la plupart des cas, les résultats ne seront pas très différents, mais il pourrait y avoir des résultats clés.
# find . -type f -ctime -7 | less
Les liens symboliques sont couramment utilisés pour tenter de sortir du compte d’un utilisateur. Passez en revue tous les éléments que vous trouverez à l’aide de la commande suivante (la plupart des sites Web n’utilisent pas de liens symboliques du tout et il est presque toujours sûrs de les supprimer.
# find -type l
Vous avez presque terminé, mais faites une autre recherche pour vous assurer que vous avez tout trouvé. Voici une commande souvent utilisée pour détecter l’obscurcissement du code. Ceci est commun avec les codes malveillants :
Bien entendu, cela détectera également de nombreux éléments qui sont des parties valides de votre site. Vérifier chaque fichier avec le codage et l’accès aux fichiers journaux pour s’assurer qu’ils sont non seulement valides, mais aussi sûrs et protégés.
Nettoyer le désordre causé par le phishing
Maintenant que vous avez une liste de fichiers malveillants et que vous avez identifié les vulnérabilités de vos sites, vous devez vous sortir de cette situation. Faites une sauvegarde avant de continuer. S’il s’agit d’un grand site, j’aurais commencé la sauvegarde au moment de mon enquête. Oui, même une sauvegarde du site compromis pourrait être utile. Un bon administrateur n’est jamais trop prudent !
Après la sauvegarde, supprimez complètement tous les fichiers malveillants et réinitialisez tous les mots de passe qui ont pu être compromis. Souvent, les fichiers de code injectés devront être nettoyés manuellement. Ouvrez ces fichiers dans un éditeur de votre choix et supprimez les injections de code. Les injections de code malveillant se trouvent généralement sur la première ou la dernière ligne d’un fichier (mais pas toujours).
Un bon administrateur système n’est jamais trop prudent !
Si vous avez identifié des modèles avec les requêtes malveillantes dans les logs, vous pouvez les bloquer avec des règles .htaccess. Par exemple, si toutes les demandes provenaient du même sous-réseau ou même du même pays, vous pourriez les bloquer temporairement jusqu’à ce que vous ayez entièrement sécurisé votre site. Voici une excellente référence pour le codage htaccess.
Vous pouvez maintenant mettre à jour toutes les applications sur votre site et réparer tous les scripts non sécurisés que vous avez trouvés dans l’enquête. Lors de la mise à jour de votre logiciel, assurez-vous de vérifier d’autres éléments comme Timthumb et TinyMCE, car elles sont souvent négligées. Si vous utilisez un CMS comme WordPress, la mise à jour des éléments suivants est généralement suffisante pour résoudre les problèmes :
Le noyau WordPress
Tous les plug-ins
Et les thèmes
Mais si vous avez un site sur mesure, il est probable que vous avez trouvé un formulaire de téléchargement non sécurisé pendant l’enquête. Vous devrez ajouter une validation au script pour éviter qu’il ne soit mal utilisé. La méthode la plus simple est d’ajouter un mot de passe dans votre script pour que vous seul puissiez l’utiliser.
Retrait de la cote
Vous avez trouvé les vulnérabilités de vos applications. Alors vous, pouvez :
Supprimer les fichiers malveillants
Réinitialiser les mots de passe
Mettre à jour votre site.
Votre site est maintenant propre, sûr et n’héberge plus de contenu malveillant. Cependant, vos utilisateurs voient toujours un avertissement de sécurité sur leur navigateur ou via leur antivirus. Heureusement, il est beaucoup plus facile de se faire radier de ces listes que de se faire radier d’une liste noire de spam.
Le moyen le plus commun d’obtenir des rapports surs est d’utiliser Google Safe Browsing. Vous pouvez utiliser le lien suivant pour demander une radiation. Google explorera à nouveau votre site et vérifiera s’il y a des problèmes. Si vous n’en trouvez aucun, vous devriez être retiré de la liste bientôt.
Les erreurs les plus courantes qui causent des problèmes de sécurité sont les mêmes partout. Mises à jour non appliquées, sites de développement négligés, mots de passe ou comptes de test faibles et scripts personnalisés peu sûrs.
Je suis sûr que vous avez trouvé au moins un de ces problèmes au cours de ce processus. Ne t’inquiète pas, ça arrive.
Comment minimiser la vulnérabilité de votre site Web ?
Comment minimiser la vulnérabilité de votre site Web aux attaques de hameçonneurs ?
Durcissement du système d’exploitation du serveur. Le « durcissement » est un processus de sécurisation d’un système d’exploitation de sorte qu’il puisse être difficile à attaquer. Utilisez des scanners de vulnérabilité commerciaux et open source et des outils d’analyse de base de sécurité pour identifier les vulnérabilités.
Durcissement des applications Web. Il s’agit d’un processus de sécurisation des logiciels d’application de serveur Web, des applications web et des scripts, ainsi que du contenu dynamique contre les attaques. Encore une fois, utilisez des scanners de vulnérabilité web commerciaux et open sources pour identifier les paramètres de configuration incorrects et le contenu exploitable. Envisagez d’utiliser un pare-feu d’application web commercial ou open source et une technologie de filtrage de contenus pour fournir un examen en ligne et en temps réel du trafic Web entrant afin de détecter les modèles d’attaque et les anomalies.
Gestion des correctifs. Maintenez les niveaux de correctifs actuels sur tous les systèmes d’exploitation et applications utilisés pour votre site Web.
Programmation sécurisée, scripts sécurisés. N’utilisez pas de programmes exécutables sans vérifier l’authenticité et la fiabilité du développeur et l’intégrité du code lui-même. L’Open Web Application Security Project (OWASP) est une source utile pour apprendre à programmer et à écrire des scripts en toute sécurité.
Compartimentation. Créez des domaines de sécurité au sein de votre réseau et séparez-les par des systèmes de sécurité (par exemple, des pare-feu) afin de limiter les attaques réussies contre un serveur ou un service.
Examen de routine. Effectuez régulièrement des tests de vulnérabilité et de pénétration du réseau, de l’hôte et du web. Si possible, demandez à une partie indépendante, expérimentée et certifiée, d’effectuer une évaluation de la sécurité des systèmes qui prennent en charge votre site web.
Mise en œuvre des meilleures pratiques en matière de filtrage de pare-feu. Limitez la circulation aux pare-feux aussi étroitement que possible.
N’autorisez l’accès qu’aux ports TCP ou UDP où vos services autorisés le permettent. Limitez davantage les flux aux adresses IP des systèmes sur lesquels vous hébergez les services d’écoute. Limitez également les flux de trafic sortant des serveurs.
Maintenant que tout va bien avec votre site, gardez ces choses à l’esprit. Connectez-vous régulièrement à votre site pour vérifier les mises à jour. Utilisez des mots de passe forts et supprimez tous les comptes de test et sites en cours de développement. Si vous avez des scripts personnalisés, assurez-vous d’ajouter une validation à votre code pour éviter les abus. Tout cela contribuera à rendre la vie d’un hameçonneur difficile. Rappelez-vous toujours qu’un bon administrateur système n’est jamais trop prudent !
La première ligne de défense d’une entreprise est l’administrateur système, le héros infatigable qui travaillent 24 heures sur 24, 7 jours sur 7 et 365 jours par an pour vous assurer que l’infrastructure informatique soit toujours sécurisée. Nous avons dressé une liste de ressources qui vous seront utiles si jamais vous êtes victime d’un incident ou d’une brèche de sécurité.
Les ransomwares ne sont pas nouveaux. Depuis le milieu des années 2000, ils ont fait des ravages dans les entreprises, des plus grandes aux plus petites. Entre 2005 et 2017, plus de 7 600 demandes de rançon ont été signalées au Centre des plaintes concernant la criminalité sur Internet (IC3). Les attaques de ransomwares ont perturbé pendant des semaines les opérations de certaines de ses victimes et ont coûté des milliards de dollars aux organisations. Le ransomware est régulièrement considéré comme la menace n° 1 en matière de cybersécurité. Il y a tout juste un an, il semblait que la férocité du ransomware n’avait aucune limite.
Cependant, l’omniprésence croissante des ransomwares a stagné, sinon reculé en 2018. Selon Kaspersky, les ransomwares ne sont plus la menace numéro 1. Ils ont cédé la place aux malwares de cryptomining. Les chevaux de Troie bancaires ont aussi récemment éclipsé les ransomwares. Il n’est pas surprenant que ces derniers ne fassent plus les manchettes qu’ils faisaient il y a à peine douze mois. Les attaques de ransomwares sont peut-être en baisse, mais vous ne devez en aucun cas les sous-estimer.
Un ransomware a pris d’assaut un aéroport du Royaume-Uni
Le 14 septembre 2018, un ransomware a frappé l’aéroport de Bristol, forçant ses employés à afficher les horaires d’arrivée et de départ des vols sur des affiches et des tableaux blancs. En effet, l’attaque a affecté les communications internes de l’aéroport. Des alertes d’horaires ont été régulièrement annoncées sur le système de sonorisation pendant deux jours, au cours desquels le personnel informatique de l’aéroport s’est efforcé de mettre fin au malware. Heureusement, l’attaque s’est limitée aux fonctions opérationnelles de l’aéroport. Elle n’a eu aucun impact sur les opérations aériennes, de sorte que les passagers n’ont jamais été en danger.
Plus tôt cette semaine, 380 000 passagers ont été touchés par un piratage de British Airways. On pense que les pirates ont réussi à contourner les défenses de British Airways à cause d’un code trouvé sur le site web de la compagnie. Bien qu’il ne s’agisse pas d’une attaque de ransomware, il semble que les compagnies aériennes et les aéroports soient des cibles faciles pour les cybercriminels.
Une série d’attaques de ransomwares pendant la période d’été
Voici quelques-unes des nombreuses attaques qui ont eu lieu pendant cette période.
Le géant mondial du transport maritime, Cosco Shipping Lines, a été contraint de cesser les activités dans plusieurs de ses ports en Amérique du Nord, en Amérique centrale et en Amérique du Sud. Cela fait suite à une attaque de ransomware qui a mis fin à ses opérations de messagerie électronique et de téléphonie réseau dans ces régions. Après l’attaque, l’entreprise a averti ses employés de ne pas ouvrir des e-mails suspects (c’était le point d’entrée de la récente attaque). On estime que 93 % des e-mails de phishing sont maintenant à l’origine des attaques des ransomwares. Ce n’est pas la première fois qu’une compagnie maritime mondiale est victime de piratage informatique, puisque l’an dernier, la compagnie danoise A.P. Moller-Maersk a été également victime de la souche de malware NotPetya.
Wendell Furniture, à Colchester, a perdu l’accès à son système de commande pendant plusieurs semaines après que ses serveurs aient été infectés par un malware. Les pirates ont réussi à voler l’information sur les ventes des huit dernières années, y compris les noms, adresses, numéros de téléphone et adresses électroniques de ses clients. Wendell a fini par payer des milliers de dollars aux pirates pour récupérer les données.
Un détaillant de matelas de Winnipeg, au Canada, a été frappé par une demande de rançon qui a fait tomber ses serveurs, ce qui a complètement mis fin à ses activités. Best Sleep Centre a négocié la rançon initiale pour 6 000 $ à 2 000 $. Selon le propriétaire, l’attaque était causée par le manque de diligence dans la mise en œuvre des mises à jour régulières. Il a également déclaré que la société a tiré une leçon coûteuse de cet incident.
L’importance des sauvegardes
La seule certitude concernant le ransomware est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre ses effets durables, peu importe comment il peut évoluer un jour.
Pour protéger vos données et pour pouvoir les récupérer suite à une attaque de ransomware, vous devez disposer d’un système de sauvegarde fiable et sûre. La règle 3-2-1 est la meilleure pratique pour la sauvegarde et la restauration. Découvrez comment fonctionne l’approche de sauvegarde 3-2-1.
Le visage changeant des ransomwares
Les inquiétudes concernant les ransomwares ont atteint des sommets l’été dernier lors des attaques WannaCry et Locky, lesquelles ont détruit de nombreuses entreprises dans le monde entier. Bien que les dommages qu’elles ont causés aient été sans précédent, le montant des rançons versées était toutefois faible. En conséquence, les attaques à grande échelle ont considérablement diminué au cours des douze derniers mois.
Cela ne signifie pas que le ransomware ne constitue plus une menace. Pour ajuster leur tir, les pirates ont maintenant changé de stratégie, passant à des attaques plus ciblées. Les rançons ont également été réduites à des montants plus réalistes, ce qui a augmenté les taux de paiement de ce genre d’attaque. Comme les attaques sont très ciblées, elles font de moins en moins partie des gros titres des actualités. Pourtant, la liste des victimes continue de s’allonger.
Fin 2016, lorsque le FBI a annoncé que les ransomwares représentaient une industrie qui pèse des milliards de dollars, cela a fait tourner beaucoup de têtes, y compris celles de programmeurs expérimentés et malintentionnés. Ces derniers ont commencé à créer des codes malveillants plus complexes qu’ils pouvaient ensuite vendre sur le dark web à des pirates qui ne possédaient pas les compétences en matière codage pour réaliser leurs projets malveillants.
Le terme « Ransomware as a Service » (RaaS) a rapidement été inventé pour décrire ce qui est maintenant devenu une entreprise clé en main pour ceux qui sont prêts à payer quelques centaines de dollars à l’avance et à partager les rançons qu’ils obtiennent. C’est l’une des principales raisons pour lesquelles le nombre de familles de ransomwares a diminué. Par contre, le nombre de variantes a augmenté.
Les attaques de ransomwares ne sont pas toujours motivées financièrement
Les attaques de ransomwares ne sont pas toujours motivées financièrement. Les pirates informatiques commencent à utiliser des charges utiles de chiffrement de malwares pour couvrir leurs traces. Par exemple, ils déploient une charge utile de ransomware avant de déposer un rootkit ou une autre charge utile malveillante. Le dépôt de ransomware reste inactif jusqu’à ce que la charge utile de l’attaque primaire ne soit découverte. Ceci permet aux pirates de lancer une attaque de ransomware pour effacer le système et protéger les signatures de code. Cette attaque peut également être utilisée pour effacer les preuves d’une opération réussie, détruisant ainsi toutes les traces.
Bien qu’il y ait actuellement peu de pirates informatiques professionnels qui mettent en œuvre des attaques de ransomwares, celles qui sont parrainées par l’État-nation sont en hausse, selon Europol. Pas plus tard que la semaine dernière, le département de la Justice des États-Unis a accusé un programmeur informatique travaillant pour le compte du gouvernement nord-coréen d’un certain nombre d’attaques, dont l’attaque de WannaCry qui a été lancée l’an dernier.
Galway, Irlande & Tampa FL, 18 septembre 2019 – @TitanHQ, le leader de la sécurité des e-mails professionnels, a annoncé aujourd’hui qu’il a été reconnu comme l’un des leaders du rapport G2 Crowd Grid® Summer 2019 Report for Cloud Email Security pour le troisième trimestre consécutif.
G2 Crowd’s user awards est un classement définitif des meilleurs éditeurs de logiciels et produits dans le monde. Le rapport met l’accent sur les solutions de sécurité de la messagerie les mieux évaluées qui permettent aux entreprises de prévenir les menaces par courrier électronique et sur le Web et d’assurer la conformité des employés.
Dans le rapport de l’été 2019 sur la sécurité de la messagerie électronique dans le cloud sécurisé, récemment publié, les produits figurant dans le quadrant des leaders sont très bien cotés par les utilisateurs G2 et ont obtenu des scores substantiels de présence sur le marché.
Satisfaction des utilisateurs
Les produits sont classés en fonction de la satisfaction de la clientèle (selon les commentaires des utilisateurs) et de la présence sur le marché (selon la part de marché, la taille du fournisseur et l’impact social). Les leaders incluent SpamTitan Email Security, Proofpoint Email Security Protection et Barracuda Email Security Gateway. Parmi les 3 premiers leaders, SpamTitan a obtenu le taux de satisfaction le plus élevé de 97%.
Le graphique ci-dessous montre plus en détail la répartition de ces scores impressionnants, SpamTitan a été le gagnant clair avec une satisfaction impressionnante de 92 à 94% dans six catégories. Les critères de mesure de la satisfaction couverts étaient la qualité du support, la facilité d’administration, la facilité d’utilisation, la facilité de faire des affaires et si la solution répondait aux exigences.
« Les commentaires extrêmement positifs des utilisateurs de SpamTitan sur G2 Crowd témoignent de notre engagement à assurer le plus haut niveau de succès à nos clients. Une réalisation incroyable pour un produit qui est nettement plus abordable que les leaders du marché » a déclaré Ronan Kavanagh, PDG de TitanHQ.
Que vous soyez un professionnel de l’informatique d’entreprise ou un MSP offrant des services de sécurité, TitanHQ simplifie l’implémentation de la sécurité de la messagerie et du Web et ajoute des couches de protection très efficaces contre les logiciels malveillants, les logiciels en rançon et les attaques de phishing.
Merci à G2 Crowd et à tous les utilisateurs de G2 qui continuent à donner à SpamTitan et WebTitan ces excellentes évaluations !
