Le ransomware Locky est de retour. Ces dernières attaques de Locky tirent parti d’une technique d’infection utilisée dans les campagnes de malwares Dridex.
Tout a été calme sur le Front de l’Ouest. Les attaques de ransomwares Locky ne représentant plus qu’une infime fraction par rapport à celles observées en 2016. Au premier trimestre de 2017, elles ont pratiquement cessé et Cerber était devenu la plus grande menace en matière de ransomware.
Mais c’est sur le point de changer, car Locky est de retour. Son mécanisme de livraison a changé, et le crypto-ransomware est maintenant encore plus difficile à détecter.
La dernière campagne a été détectée par Cisco Talos et PhishMe. L’équipe Talos a identifié une campagne d’environ 35 000 spams répartis en quelques heures seulement. Les chercheurs suggèrent que les e-mails ont été envoyés à l’aide du botnet Necurs, qui était jusqu’à récemment utilisé pour l’envoi de spams liés aux stocks.
Nouvelle méthode d’infection utilisée dans les dernières attaques du ransomware Locky
La dernière campagne Locky utilise une méthode d’infection différente. Les campagnes précédentes ont utilisé des macros Word malveillantes attachées aux spams. Si la pièce jointe est ouverte, les utilisateurs finaux sont invités à activer les macros pour visualiser le contenu du document. L’activation des macros permet l’exécution d’un script qui télécharge la charge utile. Pour la dernière campagne, les spams ont été utilisés pour livrer des fichiers PDF.
Le changement de méthode d’infection s’explique facilement. Au cours des derniers mois, les macros Word ont été largement utilisées pour infecter les utilisateurs finaux avec des ransomwares. Le danger que représentent les macros Word a été largement rapporté et les entreprises ont mis en garde leur personnel contre les documents Word malveillants contenant ces macros.
Si un utilisateur final arrive à ouvrir une pièce jointe à un e-mail qui lui demande d’activer les macros, il est alors plus susceptible de fermer le document et déclencher l’alarme. Pour augmenter la probabilité que l’utilisateur final prenne les mesures souhaitées, les auteurs ont apporté un changement. Les macros sont toujours impliquées, mais plus tard dans le processus d’infection.
Les e-mails contiennent peu de texte et ils informent le destinataire que le fichier PDF contient une image ou un document numérisé, un bon de commande ou un reçu. Les fichiers PDF, quant à eux, sont plus fiables et sont plus susceptibles d’être ouverts. En ouvrant le fichier PDF, l’utilisateur sera invité à autoriser le lecteur PDF à télécharger un fichier supplémentaire. Pourtant, le deuxième fichier est un document Word contenant une macro que l’utilisateur final sera invité à activer.
Le reste du processus d’infection se déroule de la même manière que les précédentes attaques de Locky. En activant les macros, une charge utile Dridex sera téléchargée pour télécharger ensuite Locky. Locky procédera au chiffrement d’une large gamme similaire de types de fichiers sur l’ordinateur infecté, les périphériques de stockage connectés et les lecteurs réseau mappés.
La rançon exigée est de 1 bitcoin. C’est beaucoup plus que la rançon exigée par Locky lorsqu’il a vu le jour il y a un peu plus d’un an.
Ce qui a changé un peu pour cette campagne est que l’utilisateur doit installer le navigateur Tor pour pouvoir visiter le site de paiement. Ce changement serait dû au blocage des services proxy Tor.
L’ajout d’une étape supplémentaire dans le processus d’infection devrait entraîner d’autres infections. De nombreux utilisateurs qui n’ouvriraient pas une pièce jointe Word peuvent se faire avoir en ouvrant le PDF.
Les entreprises devraient tirer la sonnette d’alarme et envoyer des e-mails d’avertissement au personnel pour les avertir de cette nouvelle campagne et leur conseiller de se méfier des fichiers PDF dans leurs e-mails.
Une nouvelle menace de malware, appelée Viro botnet, a été détectée. Le malware combine les fonctions de chiffrement de fichiers de ransomware à un enregistreur de frappe pour obtenir des mots de passe et à un botnet capable d’envoyer des spams à partir de dispositifs infectés.
Le malware Viro botnet fait partie d’une nouvelle génération de variantes de malwares très flexibles et qui disposent d’un large éventail de fonctionnalités leur permettant de maximiser les bénéfices d’une infection réussie. Plusieurs variantes de malwares ont été découvertes récemment, combinant les propriétés de chiffrement de fichiers des ransomwares avec le code d’exploitation minière de cryptomonnaies.
La dernière menace a été identifiée par des chercheurs en sécurité de Trend Micro. Ils ont souligné que cette nouvelle menace est encore en cours de développement et semble avoir été créée de toutes pièces. Le code est différent de ceux des autres variantes de ransomwares connues.
Certaines variantes de ransomwares sont capables de s’autopropager d’un appareil infecté à d’autres appareils sur un même réseau. Viro botnet y parvient en détournant les comptes de messagerie Outlook. Il utilise ensuite ces comptes pour envoyer des spams – contenant soit une copie d’eux-mêmes en pièce jointe, soit un téléchargeur — à toutes les personnes de la liste de contacts de l’utilisateur.
Viro botnet a été utilisé dans des attaques ciblées aux États-Unis via des campagnes de spams, bien que bizarrement, la note de rançon déposée sur les ordinateurs des victimes était écrite en français. Ce n’est pas la seule nouvelle menace de ransomware à inclure une demande de rançon en français. C’est aussi le cas de PyLocky, une nouvelle menace de ransomware récemment détectée et qui se fait passer pour Locky. Cela semble être une coïncidence, car rien n’indique que ces deux types de ransomwares sont liés ou distribués par un même groupe de menaces.
Avec Viro botnet, l’infection commence par un spam contenant une pièce jointe malveillante. Si celle-ci est ouverte et que le contenu est autorisé à s’exécuter, la charge utile malveillante sera téléchargée. Viro botnet malware vérifiera d’abord les clés de registre et les clés de produit pour déterminer si sa routine de cryptage doit s’exécuter. Si ces contrôles sont réussis, une paire de clés de chiffrement/déchiffrement sera générée via un générateur cryptographique de nombres aléatoires qui seront ensuite renvoyés au serveur C2 de l’attaquant. Les fichiers sont ensuite chiffrés par le biais d’un chiffrement RSA et une note de rançon est déposée sur le bureau de l’ordinateur infecté.
Le malware Viro botnet contient un keylogger de base capable d’enregistrer toutes les frappes sur une machine infectée et de renvoyer les données au serveur C2 de l’attaquant, puis de télécharger d’autres fichiers malveillants à partir de ce même serveur.
Alors que le serveur C2 de l’attaquant était initialement actif, il est actuellement désactivé, de sorte que les données des autres périphériques infectés ne puissent plus être chiffrées. En effet, la connexion à ce serveur est nécessaire pour que la routine de chiffrement puisse démarrer. La menace a été neutralisée, mais il ne devrait s’agir que d’une brève interruption. On pourrait s’attendre à ce que le C2 soit réactivé et que d’autres campagnes de distribution plus vastes se produisent.
La protection contre les menaces par courrier électronique comme le malware Viro botnet nécessite une solution avancée de filtrage des spams comme SpamTitan pour empêcher la transmission de messages malveillants aux utilisateurs finaux. Un logiciel antimalware avancé devrait être installé pour détecter les fichiers malveillants au cas où ils seraient téléchargés.
Les utilisateurs finaux devraient également recevoir une formation de sensibilisation à la sécurité pour les aider à identifier les menaces de sécurité et à réagir de manière appropriée.
Enfin, des sauvegardes multiples doivent être créées, dont une copie sera stockée en toute sécurité hors site, et ce, afin de garantir que les fichiers puissent être récupérés en cas de chiffrement des fichiers.
À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).
Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?
Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.
Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.
Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.
Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.
Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.
D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.
Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.
Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.
Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?
Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.
Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.
Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.
Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.
Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.
Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.
Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.
Une nouvelle forme de malware POS (Point of Service), appelée MajikPOS, a récemment été découverte par des chercheurs en sécurité chez Trend Micro. Le nouveau malware a été utilisé dans des attaques ciblées contre des entreprises aux États-Unis, au Canada et en Australie.
Les chercheurs ont identifié les malwares MajikPOS pour la première fois fin janvier, alors qu’ils avaient déjà été utilisés dans de nombreuses attaques contre des détaillants. Une enquête plus poussée a révélé que ces attaques avaient été menées depuis août 2016.
Les malwares MajikPOS ont une conception modulaire et ont été écrits en .NET, un cadre logiciel commun utilisé pour les malwares POS. La conception des malwares MajikPOS prend en charge un certain nombre de fonctions qui peuvent être utilisées pour recueillir des informations sur les réseaux et identifier les systèmes de points de vente et autres ordinateurs qui traitent les données financières.
Les attaquants infectent les ordinateurs en exploitant de faibles informations d’identification. Des attaques brutales sont menées sur les ports VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol) ouverts.
Diverses techniques peuvent être utilisées pour installer les malwares MajikPOS et échapper à la détection, en s’appuyant dans certains cas sur les RAT ayant déjà été installés sur les systèmes des détaillants. Le malware comprend un composant de raclage de RAM pour identifier les données de carte de crédit et utilise un canal crypté pour communiquer avec son C&C et exfiltrer les données non détectées.
Les malwares MajikPOS sont utilisés par une organisation cybercriminelle bien organisée et le vol des détails des cartes de crédit sont à grande échelle. Ces informations sont ensuite vendues sur des « dump shops » sur le darknet. Les numéros de cartes de crédit volées, que les chercheurs estiment à au moins 23 400, sont vendus entre 9 et 39 $ l’unité, ou par lots de 25, 50 ou 100$. La majorité de ces cartes appartiennent à des particuliers aux États-Unis ou au Canada.
Les infections de malwares dans les systèmes de points de vente peuvent être dévastatrices
Un certain nombre de vecteurs d’attaque différents peuvent être utilisés pour installer des malwares dans les points de vente. Ils peuvent s’installer lorsque des employés tombent dans le piège des e-mails de spear phishing. Les cybercriminels prennent souvent pied dans les réseaux de détaillants parce que les employés divulguent des informations d’identification lorsqu’ils répondent à des e-mails de phishing.
Les attaques via des kits d’exploitation ont diminué ces derniers mois. Cependant, la menace n’a pas disparu et les campagnes de publicité malveillantes et les liens malveillants envoyés par e-mail sont toujours utilisés dans les attaques ciblées contre les détaillants américains.
Les attaques par force brute sont également fréquentes, ce qui souligne l’importance de modifier les informations d’identification par défaut et de définir des mots de passe forts.
Les infections de malwares dans les systèmes de points de vente peuvent s’avérer incroyablement coûteuses pour les détaillants. Il suffit de demander à Home Depot, un grand détaillant pour lequel une infection par un malware de son système de point de vente a coûté plus de 179 millions de dollars. Le coût de l’atteinte à la sécurité continue d’augmenter, et ce chiffre ne tient pas compte de la perte d’activité résultant de l’infraction. En effet, suite à cette attaque de malwares POS en 2014, les consommateurs ont décidé d’acheter ailleurs que dans leur entourage.
Cette dernière menace devrait servir d’avertissement à tous les détaillants.
Les vulnérabilités en matière de sécurité peuvent être exploitées par les cybercriminels. Si des protections inadéquates ne sont pas mises en place pour protéger les données des consommateurs, ce ne sera qu’une question de temps avant que vos systèmes ne soient attaqués.
Cela a pris un certain temps, car Google ne voulait pas avoir à prendre des mesures. Mais, finalement, le Google Chrome Ad blocker a été dévoilé. Grâce à cette nouvelle fonctionnalité de Chrome, les utilisateurs peuvent désormais bloquer les publicités intrusives s’ils le souhaitent.
Qu’est-ce que le Google Chrome Ad Blocker peut bloquer ?
Google gagne beaucoup d’argent grâce à la publicité, voici pourquoi Google Chrome Ad blocker ne bloque pas toutes les publicités, seulement celles qui sont considérées comme intrusives et gênantes. Mais ce ne sont là que des termes naturellement subjectifs. Alors comment Google va-t-il déterminer ce qui constitue une « intrusion » ?
L’un des premiers contrôles effectués par Google consiste à vérifier si les publicités sur une page Web enfreignent les normes établies par le Coalition for Better Ads, un groupe d’organisations professionnelles et de sociétés de médias en ligne qui s’engagent à améliorer l’expérience en ligne des internautes.
La Coalition for Better Ads a identifié les expériences publicitaires les moins bien classées parmi une gamme de facteurs liés à l’expérience et a établi une norme sur ce qui peut être considéré comme acceptable. Ces normes comprennent quatre types d’annonces pour les utilisateurs d’ordinateurs de bureau : pop-up ads, vidéos en lecture automatique avec son (autoplay), publicités interstitielles avec compte à rebours et grandes annonces collantes.
Il existe huit catégories couvrant la publicité mobile à savoir les publicités pop-up, les publicités interstitielles (où les publicités sont chargées avant le contenu), les publicités interstitielles avec compte à rebours, les publicités animées clignotantes, l’autoplay, les publicités scrollover plein écran, les grandes publicités collantes et la densité publicitaire supérieure à 30 %.
Google Chrome évalue les pages Web en fonction de ces normes. Si la page n’appartient pas à l’une des catégories d’annonces ci-dessus, aucune action ne sera entreprise. Google affirme que lorsque 7,5 % des publicités sur un site violent les normes, le filtre se déclenche.
Si les normes ci-dessus ne sont pas respectées, le site reçoit un avertissement et dispose d’un délai de 30 jours pour prendre des mesures adéquates. Les propriétaires de sites qui ne tiennent pas compte de l’avertissement et qui ne prennent aucune mesure se verront leur site ajouté à une liste de sites en échec. Leurs annonces publicitaires seront donc bloquées, bien que les visiteurs aient encore la possibilité de les charger sur le site en question.
L’objectif du Google Chrome Ad blocker n’est pas de bloquer les publicités, mais d’inciter les propriétaires de sites à adhérer aux normes Better Ads. Google rapporte que la menace du blocage des publicités a déjà eu un effet positif. Avant même la sortie du Chrome Ad blocker, Google a affirmé que 42% des sites avec des publicités intrusives ont déjà apporté des changements pour les rendre conformes aux normes Better Ads.
Ce changement n’était peut-être pas celui que Google voulait faire, mais c’est une étape importante qu’il fallait franchir. Les publicités intrusives sont devenues une nuisance majeure, et les internautes passent à l’action en installant des bloqueurs de publicités. Ce qui pose problème c’est que ces bloqueurs ne classent pas les publicités suivant le fait qu’elles sont ennuyeuses ou non. Ils bloquent toutes les publicités, ce qui est évidemment mauvais pour des entreprises comme Google.
Rappelons que Google a réalisé 95,4 milliards de dollars en termes de publicité l’an dernier. L’utilisation généralisée des bloqueurs de publicités pourrait donc faire une sérieuse entaille dans ses profits. Selon les chiffres de Deloitte, 31 % des utilisateurs aux États-Unis ont déjà installé des bloqueurs de publicités et ce chiffre devrait atteindre un tiers de tous les ordinateurs cette année.
Alors, est-ce que le lancement du Google Chrome Ad blocker signifiera-t-il que moins de gens utiliseront le logiciel de blocage de publicité ? Seul l’avenir nous le dira, mais c’est peu probable. Toutefois, ce changement pourrait signifier que moins de gens envisageront sérieusement de bloquer des publicités à l’avenir si les entreprises commencent à adhérer aux normes Better Ads.
Pourquoi les entreprises devraient envisager d’utiliser un filtre Web
Pour les entreprises, les publicités sont plus qu’une nuisance.
Certaines d’entre elles présentent un risque sérieux pour la sécurité. Les cybercriminels peuvent en effet utiliser des publicités malveillantes pour diriger les utilisateurs finaux vers des sites Web de phishing et des pages Web hébergeant des kits d’exploitation et des malwares.
Appelées malvertising, ces publicités malveillantes représentent un risque majeur. Bien qu’il soit possible d’utiliser un adblocker pour empêcher leur affichage, celui-ci n’empêchera pas d’autres menaces graves qui sont diffusées sur la toile. Pour une plus grande sécurité web, un filtre web s’avère donc nécessaire.
Un filtre Web peut être configuré pour bloquer différentes catégories de contenus d’un site Web que vos employés n’ont pas besoin de visiter pendant leur journée de travail. Le filtre peut être configuré pour bloquer les sites et pages web connus pour être utilisés pour le phishing ou la distribution de malwares. Par ailleurs, il peut bloquer le téléchargement de types de fichiers spécifiques tels que JavaScript et autres fichiers exécutables, c’est-à-dire des fichiers souvent utilisés pour installer des malwares.
Enfin, WebTitan permet aux entreprises de réduire le risque de malvertising sans avoir besoin d’installer de bloqueurs de publicités.
En contrôlant minutieusement les contenus web auxquels les employés peuvent accéder, les entreprises peuvent améliorer considérablement la sécurité Web et bloquer la majorité des menaces cybercriminelles.
Pour plus d’informations sur le blocage des contenus malveillants et indésirables, contactez l’équipe TitanHQ dès aujourd’hui.
