Perturbation du réseau web de distribution de malware EITest

Perturbation du réseau web de distribution de malware EITest

Un réseau de distribution de malwares sur le Web — qui redirigeait environ 2 millions de visiteurs par jour vers des sites Web compromis hébergeant des kits d’exploitation — a été perturbé, paralysant ainsi les opérations de distribution de malwares.

Le réseau de distribution de malwares sur le Web — connu sous le nom d’EITest — utilisait des sites Web compromis pour rediriger les visiteurs vers des sites où des kits d’exploitation étaient utilisés pour télécharger des malwares et des ransomwares. Il permettait également aux pirates de rediriger les utilisateurs vers des sites de phishing et de lancer des escroqueries du support technique.

En effet, les pirates ont pu convaincre les visiteurs d’un site compromis de payer pour de faux logiciels afin de supprimer les infections par des malwares qui n’existaient même pas.

Supprimer les redirections des sites Web compromis est une tâche de grande ampleur. Les efforts d’assainissement de ces sites se poursuivent et les CERT (Computer Emergency Response Team) nationaux sont invités à fournir leur assistance.

Le réseau de distribution de malwares sur le Web a été totalement détruit et le trafic est maintenant redirigé vers un domaine sûr. Les chercheurs de Proofpoint ont pu s’emparer d’un domaine clé qui générait des domaines C&C, bloquant les redirections et les redirigeant vers quatre nouveaux domaines EITest qui pointent vers un gouffre abuse.ch.

Le gouffre n’est opérationnel que depuis un mois. Il a été activé le 15 mars dernier, mais il a déjà permis de protéger des dizaines, voire des centaines de millions de visiteurs du site. Rien qu’au cours des trois premières semaines, 44 millions de visiteurs ont été redirigés vers le gouffre à partir d’environ 52 000 sites et serveurs compromis.

La majorité des sites Web compromis utilisaient WordPress. Du code malveillant avait été injecté à cause des failles du CMS et des plug-ins ont été installés sur les sites. Les vulnérabilités de Joomla, Drupal et PrestaShop avaient également été exploitées pour installer le code malveillant.

Le réseau de distribution de malwares sur le Web est opérationnel depuis au moins 2011, mais les attaques qui y sont liées ont considérablement augmenté en 2014. Bien que des efforts aient déjà été menés pour perturber le réseau de distribution des malwares, la plupart d’entre eux ont échoué, tandis que d’autres n’ont connu qu’un succès temporaire.

Le code malveillant injecté dans les serveurs et les sites Web redirigeait principalement les visiteurs vers un kit d’exploitation appelé Glazunov et, dans une moindre mesure, vers un kit d’exploitation appelé Angler. Ces kits d’exploitation recherchent de multiples vulnérabilités dans les logiciels pour pouvoir télécharger des ransomwares et des malwares.

On pense que les acteurs de la menace à l’origine de l’EITest ont réagi et tenté de prendre le contrôle du gouffre, mais pour l’instant, ces efforts ont été contrecarrés.

Comment améliorer la sécurité et bloquer les attaques de malwares sur le Web ?

Le fait qu’une opération d’une telle ampleur ait été perturbée est certainement une bonne nouvelle. Mais cela souligne également l’importance de la menace d’attaques sur le Web. Les spams sont peut-être devenus la principale méthode de distribution de malwares et de ransomwares, mais les organisations ne devraient pas ignorer la menace que représentent les attaques sur le Web.

Ces attaques peuvent se produire lorsque les employés naviguent simplement sur le Web et visitent des sites internet parfaitement légitimes. Malheureusement, la sécurité laxiste des propriétaires de sites Web peut conduire au compromis de leurs sites Web. L’absence de mise à jour de WordPress ; d’autres systèmes et de plug-ins de gestion de contenu ; et les mauvaises pratiques en matière de mots de passe font des attaques sur les sites Web un processus rapide et facile.

Pour réduire le risque d’attaques sur le Web, l’une des meilleures solutions à mettre en œuvre est un filtre Web. Sans cela, les employés seront autorisés à visiter tout site Web, y compris ceux connus pour héberger des malwares ou pouvant être utilisés à des fins malveillantes.

En mettant en place un filtre Web, les redirections vers des sites Web malveillants seront bloquées, tout comme les téléchargements de fichiers malveillants. Par ailleurs, les attaques de phishing sur le Web seront contrées.

TitanHQ est le premier fournisseur de solutions de filtrage Web dans le cloud pour les PME les grandes entreprises. WebTitan Cloud et WebTitan Cloud for WiFi leur permettent de contrôler avec soin le contenu du site Web auquel peuvent accéder leurs employés, les utilisateurs de leur réseau invité et les utilisateurs de leur Wi-Fi.

La solution de TitanHQ dispose de puissantes protections antivirus. Elle utilise des listes noires de sites Web malveillants connus et intègre l’inspection SSL/HTTPS pour fournir une protection contre le trafic chiffré malveillant. La solution permet également aux PME et aux grandes entreprises d’appliquer leurs politiques d’utilisation d’Internet acceptables ; et aux écoles d’appliquer Safe Search et YouTube for Schools.

Pour plus d’informations sur la façon dont WebTitan peut protéger vos employés et étudiants et prévenir les infections de malwares sur votre réseau, contactez TitanHQ dès aujourd’hui.

Une nouvelle variante de malware AutoHotKey appelée Fauxpersky a été identifiée

Une nouvelle variante de malware AutoHotKey appelée Fauxpersky a été identifiée

Alors que les pirates informatiques se tournent vers les langages de script pour développer rapidement de nouvelles variantes de malwares, plusieurs nouvelles variantes de logiciels malwares AutoHotKey ont été découvertes ces dernières semaines. La toute dernière ayant été découverte — le malware Fauxpersky — est très efficace pour voler les mots de passe.

AutoHotKey est un langage de script open source populaire. Il facilite la création de scripts pour automatiser et planifier des tâches, même à l’intérieur de logiciels tiers. Il est possible d’utiliser AutoHotKey pour interagir avec le système de fichiers local et la syntaxe est simple, ce qui le rend facile à utiliser, même sans grande connaissance technique. AutoHotKey permet de compiler des scripts dans un fichier exécutable qui peut être facilement exécuté sur un système.

Pour les développeurs de malwares, AutoHotKey reste toujours très utile. Les logiciels malwares AutoHotKey sont maintenant utilisés pour le keylogging et pour installer d’autres variantes de malwares comme les mineurs de cryptocurrences. La première de ces variantes a été découverte en février 2018.

Depuis, plusieurs autres variantes de logiciels malwares AutoHotKey ont été découvertes. Le dernier né étant Fauxpersky, ainsi nommé parce qu’il se fait passer pour un antivirus Kaspersky.

Les malwares Fauxpersky

Les malwares Fauxpersky manquent de sophistication, mais peuvent être considérés comme une menace importante. S’il n’est pas détecté, il permet aux attaquants de voler des mots de passe qui peuvent être utilisés pour des attaques très dommageables et de leur donner une prise sur le réseau.

Le malware Fauxpersky a été découvert par les chercheurs en sécurité informatique Amit Serper et Chris Black. Ils ont expliqué dans un récent article de blog que le malware n’est peut-être pas particulièrement avancé et furtif, mais il constitue une menace et pourrait permettre aux cybercriminels de voler des mots de passe pour avoir accès aux données.

Fauxpersky infecte les clés USB pour répandre le malware entre les périphériques. Il peut également se répliquer sur les lecteurs répertoriés du système. La communication avec les attaquants se fait via un formulaire Google, lequel est utilisé pour envoyer des mots de passe volés et des listes de frappes au clavier dans leurs boîtes de réception. Comme la transmission est chiffrée, il ne semble pas s’agir d’une exfiltration de données par les systèmes de surveillance du trafic.

Une fois installé, Fauxpersky renomme le lecteur et ajoute « Protected by Kaspersky Internet Security 2017 » au nom du lecteur. Le logiciel malveillant enregistre toutes les frappes au clavier effectuées sur un système et ajoute également un contexte pour aider les attaquants à déterminer ce que fait l’utilisateur. Le nom de la fenêtre dans laquelle le texte est tapé est ajouté au fichier texte.

Une fois que la liste des frappes a été envoyée, elle est supprimée du disque dur pour éviter toute détection.

Les chercheurs ont signalé cette nouvelle menace à Google. Celle-ci a été éliminée rapidement, mais d’autres menaces pourraient bien être créées pour la remplacer.

Les logiciels malwares AutoHotKey devraient devenir plus sophistiqués

Il est peu probable que les logiciels malwares AutoHotKey remplacent les langages de script plus puissants comme PowerShell. Pourtant, l’augmentation de l’utilisation de l’AutoHotKey, ainsi que le nombre de nouvelles variantes détectées ces dernières semaines suggèrent qu’il ne sera pas abandonné de sitôt.

Les logiciels malveillants AutoHotKey ont maintenant été découverts avec plusieurs fonctions d’obscurcissement pour les rendre plus difficiles à détecter. Cependant, de nombreux fournisseurs d’antivirus n’ont pas encore doté leurs logiciels de la capacité de détecter ces malwares.

À court et moyen terme, il est fort probable que nous assisterons à une explosion des variantes de logiciels malveillants AutoHotKey, en particulier les keyloggers qui sont conçus pour voler les mots de passe.

Méfiez-vous des malwares sous forme de fausses mises à jour logicielles

Les logiciels obsolètes sont probablement la faille de sécurité la plus répandue dans le monde. Les cybercriminels ne sont pas différents des utilisateurs des entreprises en termes d’évolutivité et d’efficacité.

Les entreprises continuent de migrer leurs services et applications vers le cloud afin de servir leurs utilisateurs dispersés dans le monde entier, avec un degré d’évolutivité et d’efficacité qui ne peut être atteint que par le cloud computing.

De même, les pirates cherchent constamment de nouvelles façons d’optimiser leurs attaques. En ciblant l’entreprise d’un fournisseur de cloud computing très populaire, par exemple, un attaquant pourrait obtenir l’accès à tout ou partie de données de ses clients.

Lorsqu’un groupe de pirates informatiques bien connu a compromis un fournisseur de services de soins de santé dans le cloud, les dossiers des patients de certains de leurs plus gros clients ont été volés grâce à des connexions VPN qui n’offraient aucun niveau de sécurité fiable.

Et si vous pouviez simplement infiltrer un seul réseau et laisser un nombre incalculable d’autres entreprises télécharger facilement votre virus malveillant, et ce, sans aucun soupçon ? Cela peut sembler invraisemblable, mais détrompez-vous.

Plus tôt cette année, le très populaire logiciel de nettoyage de système, CCleaner, a été infecté par une attaque malveillante de la chaîne d’approvisionnement. Pendant six mois, les pirates informatiques ont pu infiltrer le réseau et finalement accéder à des serveurs clés.

Les attaquants ont d’abord obtenu l’accès au site via un poste de travail d’un développeur qu’ils ont ensuite utilisé pour compromettre l’application TeamViewer installée sur son ordinateur. De là, ils ont installé des keyloggers (enregistreurs de frappe) dans tout le réseau qui leur ont permis de voler les informations d’identification et d’obtenir des privilèges administratifs pour les serveurs clés utilisant le protocole RDP (Remote Desktop Protocol).

Ils ont ensuite remplacé la version authentique du logiciel par une version malveillante qui a finalement été téléchargée par 2,3 millions d’utilisateurs.

Ce n’est qu’un mois après l’installation du malware que les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel et en ont informé la société mère, Avast. Le malware a été conçu pour fonctionner en deux étapes.

La première consistait à recueillir des informations sur les ordinateurs ayant téléchargé le code, comme le nom de l’ordinateur, la version du système d’exploitation, l’adresse MAC et les processus actifs.

Heureusement, le malware a été découvert avant que la deuxième étape n’ait pu être mise en œuvre, bien que son intention n’ait pas été claire. Considérant qu’il y a eu plus de deux milliards de téléchargements de CCleaner depuis sa création, les conséquences possibles auraient pu être terribles.

Attaque de malwares de la chaîne d’approvisionnement

Ce n’est pas la première fois que les pirates informatiques tirent parti d’une attaque malveillante de la chaîne d’approvisionnement.

Il y a deux mois, des chercheurs en sécurité informatique de plusieurs organisations ont publié une analyse complète de la façon dont les pirates ont infiltré la société ukrainienne de logiciels de comptabilité Medoc.

Cette attaque a permis d’injecter un code malveillant dans les futures mises à jour logicielles de la société et qui étaient en attente de distribution. Les clients du Médoc, qui représentent environ 80 % des entreprises ukrainiennes, ont ensuite téléchargé ces mises à jour.

Quelques mois plus tard, le code téléchargé a été utilisé pour lancer l’attaque NotPetya, laquelle a perturbé les entreprises de services publics et les entreprises publiques ukrainiennes, avant de se propager dans le monde.

L’année dernière, Kaspersky Labs a publié sur Wired Magazine deux autres exemples dans lesquels des malwares ont été largement diffusés par le biais de mises à jour logicielles, incluant une société de logiciels financiers ainsi qu’un fabricant de logiciels pour ATM.

Dès 2012, une souche de malwares de cyberespionnage appelée Flame a exploité une faille de l’autorité de certification des services terminaux de l’entreprise.

Armées de faux certificats, les machines infectées dans un réseau ciblé pourraient tromper les PC Windows et les amener à accepter un fichier malveillant comme une mise à jour de Microsoft.

Manipulation de systèmes pour la livraison de malwares

L’ironie de ce type de piratage est troublante, car de nombreuses attaques peuvent actuellement profiter des ordinateurs, serveurs et périphériques réseau qui ne sont pas correctement mis à jour.

Les professionnels de la cybersécurité continuent de souligner l’importance de maintenir tous les dispositifs à jour comme l’un des principaux moyens de renforcer la sécurité. Par conséquent, de nombreux utilisateurs et administrateurs configurent leurs appareils pour une mise à jour automatique.

Si le public commençait à perdre confiance vis-à-vis des mises à jour logicielles, de plus en plus de machines pourraient rester vulnérables. En fin de compte, c’est peut-être le véritable objectif de la communauté des hackers.

Plus tôt cet été, l’American Civil Liberties Union (ACLU) a publié un rapport intitulé « How Malicious Software Updates Endanger Everyone ? ». Le rapport résume la façon dont les agents gouvernementaux peuvent tenter de forcer les développeurs de logiciels à créer ou à installer du code malveillant dans les mises à jour de logiciels pour des applications légitimes.

Selon cette organisation, il est probable que les acteurs gouvernementaux tentent de forcer les fabricants de logiciels à mettre à jour leurs logiciels, en considérant les malwares conçus pour obtenir des données à partir d’appareils ciblés, car de plus en plus d’entreprises sécurisent les données de leurs utilisateurs par chiffrement.

Par exemple, Apple a récemment comblé une lacune technique que les organismes d’application de la loi utilisaient couramment pour extraire les données de l’iPhone. Après avoir refusé d’aider le FBI à ouvrir un iPhone verrouillé pour faciliter l’enquête sur un tueur en série, le FBI a trouvé une alternative en accédant à l’appareil par son port de chargement et de données. Apple a comblé cette lacune en exigeant le mot de passe de l’utilisateur pour accéder au port et pour transférer les données.

La question est de savoir si le gouvernement, disposant des droits d’accès aux appareils personnels, est à nouveau sous les feux de la rampe. À mesure que les entreprises supprimeront d’autres échappatoires technologiques, les forces de l’ordre seront de plus en plus soumises à des pressions pour trouver d’autres vulnérabilités à exploiter.

Il existe un risque réel que la confiance du public à l’égard des mises à jour logicielles soit perdue et que les systèmes soient mis à jour moins fréquemment en raison de l’exploitation par des pirates.

Enfin, la méthode la plus simple pour éviter le téléchargement de malwares lors de la mise à jour de vos programmes est d’éviter les options de mises à jour automatiques. Au lieu de cela, vous devriez les activer pour qu’elles puissent vous avertir lorsqu’une mise à jour est disponible.

Et lorsque vous devez le faire, il est recommandé de télécharger uniquement la mise à jour proposée par le développeur du logiciel.

Une campagne de malwares utilise Microsoft Word sans macros

Une nouvelle campagne de malwares utilisant Microsoft Word sans macros a été détectée. L’ouverture d’un document Word envoyé par e-mail ne génère pas les avertissements habituels selon lesquels les macros doivent être activées.

Les employés peuvent avoir été avertis de se méfier de tout courriel contenant des pièces jointes et de ne jamais activer les macros sur les documents reçus par courriel. Cependant, l’utilisation de Microsoft Word sans macros signifie que même l’ouverture des pièces jointes d’e-mails peut impliquer le téléchargement de malwares si des correctifs n’ont pas été appliqués.

Le processus d’infection en plusieurs étapes utilise la vulnérabilité CVE-2017-11822 Word pour installer un voleur d’informations. CVE-2017-11822 a été patché par Microsoft l’année dernière, mais les entreprises qui n’ont pas récemment corrigés leurs systèmes seront encore vulnérables à cette attaque.

CVE-2017-11822 est une vulnérabilité dans Office Equation Editor. Le bug peut se produire avec Microsoft Office depuis 17 ans. Mais l’an dernier, Microsoft a jugé que la vulnérabilité d’exécution du code était importante, mais pas critique. Cependant, de nombreux professionnels de la sécurité n’étaient pas d’accord et ont affirmé que la vulnérabilité était très dangereuse, car le bug pouvait être exploité par les pirates informatiques pour exécuter un code arbitraire et qu’elle était présente dans toutes les versions Office.

Microsoft Equation Editor est une application qui permet l’insertion et l’édition d’équations complexes dans des documents Office en tant qu’éléments OLE. L’an dernier, les chercheurs en sécurité ont été en mesure d’exploiter la vulnérabilité pour exécuter une séquence de commandes, y compris le téléchargement de fichiers à partir d’Internet. Cette campagne déclenche également le téléchargement d’un document — un fichier RTF (Rich Text File) — via un objet OLE intégré dans le document Word.

L’objet OLE ouvre le fichier RTF qui utilise la vulnérabilité pour exécuter une ligne de commande MSHTA, laquelle télécharge et exécute un fichier HTA contenant un VBScript. Le VBScript décompresse un script PowerShell qui, à son tour, télécharge et exécute le malware voleur d’informations. Le but du malware est de voler les mots de passe de navigateurs Web, de comptes de messagerie électronique et de serveurs FTP.

La campagne de malware a été conçue pour cibler les entreprises. Jusqu’à présent, quatre modèles d’e-mails ont été détectés par les chercheurs de SpiderLabs, mais beaucoup d’autres seront certainement utilisés au cours des prochains jours et semaines.

Les quatre courriels interceptés ont les lignes d’objet :

  • Relevé de compte TNT
  • Demande d`offre de prix (RFQ)
  • Notification de transfert envoyé par télex
  • Copie rapide pour le paiement du solde

Bien qu’un correctif ait été publié l’année dernière pour remédier à cette vulnérabilité, ce mardi, Microsoft a pris d’autres mesures en supprimant certaines des fonctionnalités de Microsoft Equation Editor pour empêcher l’exploitation de CVE-2017-11882.

Les entreprises peuvent atténuer cette attaque de trois façons principales :

  • S’assurer que les installations et les systèmes d’exploitation de Microsoft Office sont mis à jour à 100 % et régulièrement.
  • Utiliser un logiciel antispam pour empêcher la livraison de courriels malveillants aux utilisateurs finaux

Formation des utilisateurs finaux aux meilleures pratiques en matière de cybersécurité et aux dangers liés à l’ouverture des documents Office provenant d’une personne inconnue. Vous devriez également envisager d’envoyer un avertissement au sujet de cette campagne de malware et des lignes d’objet qui ont été utilisées.

2017 : les attaques de malwares contre les écoles s’intensifient

2017 a vu une augmentation importante des attaques de malwares dans les écoles. Alors que les cybercriminels ont mené des attaques à l’aide d’une variété de malwares différents, l’un des plus gros problèmes est celui des ransomwares.

Un ransomware est un logiciel malveillant qui chiffre les fichiers, les systèmes et même les tables de fichiers maître, empêchant ses victimes d’accéder à leurs données. L’attaque s’accompagne d’une demande de rançon. Les victimes doivent payer une rançon pour chaque appareil infecté, dont le montant peut varier de quelques centaines à plusieurs milliers de dollars par appareil. Les demandes de rançon de dizaines de milliers de dollars sont désormais courantes.

Les données peuvent être restaurées à partir d’une sauvegarde, mais seulement si elles sont sauvegardées de manière fiable. Mais souvent, les fichiers de sauvegarde sont chiffrés, ce qui rend la récupération impossible à moins que la rançon ne soit payée.

Les attaques de ransomwares peuvent être aléatoires, le code malveillant étant installé par le biais de campagnes de spam à grande échelle, impliquant des millions de messages.

Les écoles sont souvent ciblées. Les cybercriminels savent très bien que les moyens de défense en matière de cybersécurité dans les écoles sont généralement insuffisants et que les rançons sont plus susceptibles d’être payées parce qu’elles ne peuvent pas fonctionner si elles n’ont pas accès à leurs données.

D’autres variantes de malwares sont utilisées pour enregistrer des informations sensibles telles que les identifiants de connexion. Ceux-ci sont ensuite relayés aux attaquants et sont utilisés par les pirates pour accéder aux réseaux informatiques des écoles. Les attaquants recherchent des informations personnelles comme les détails fiscaux, les numéros de sécurité sociale et d’autres renseignements qu’ils peuvent utiliser pour le vol d’identité.

En ce qui concerne les attaques de ransomwares, elles peuvent rapidement être découvertes, car les notes de rançon sont placées sur les ordinateurs et les fichiers ne sont pas accessibles. Contrairement, les enregistreurs de frappe et les autres formes de vol d’informations prennent souvent plusieurs mois à détecter.

Les récentes attaques de malwares dans les écoles peuvent entraîner le sabotage de l’ensemble de leurs réseaux.

Les attaques NotPetya impliquaient par exemple une forme de malware qui chiffre la table de fichiers maître, empêchant l’ordinateur de localiser les données stockées. Leur but était de saboter des infrastructures essentielles. Il n’y avait aucun moyen de récupérer la table de fichiers principale chiffré en dehors d’une restauration complète du système.

Les conséquences des attaques de malwares à l’encontre des écoles peuvent être considérables. Elles entraînent des pertes financières, les données peuvent être perdues ou volées, les équipements informatiques peuvent être rendus inutilisables et les établissements d’enseignement peuvent faire l’objet de poursuites ou d’actions en justice en raison des attaques.

Dans certains cas, les établissements scolaires ont été contraints de refuser des élèves afin de résoudre les problèmes causés par les infections de malwares, en remettant leurs systèmes en ligne.

Principales attaques de malwares dans les écoles en 2017

Vous trouverez ci-dessous quelques-unes des principales attaques de malwares qui ont eu lieu dans les écoles en 2017.

Ce n’est qu’une très petite sélection parmi un grand nombre d’attaques signalées au cours des six derniers mois.

Fermeture pendant une journée du Minnesota School District en raison d’une attaque de malwares

Les attaques de malwares dans les écoles peuvent avoir des conséquences majeures pour les élèves. En mars, le district scolaire de Cloquet, au Minnesota, a subi une attaque de ransomware qui a entraîné le chiffrement d’importantes quantités de données, empêchant l’accès à de nombreux fichiers. Les attaquants ont émis une demande de rançon de 6 000$ pour déverrouiller le chiffrement.

Le fonctionnement du district scolaire est axé sur la technologie, de sorte que sans accès à ses systèmes, les cours ont été gravement perturbées. L’école a même dû fermer pendant une journée pour que le personnel de soutien informatique puisse restaurer les données.

Pour ce cas précis, les données sensibles n’ont pas été compromises, bien que la perturbation causée ait été grave. Le ransomware était censé avoir été installé à la suite de l’ouverture par un membre du personnel d’un e-mail de phishing qui a permis d’installer le ransomware sur le réseau.

Le district scolaire Swedesboro-Woolwich a souffert d’une attaque par cryptoransomware

Le district scolaire Swedesboro-Woolwich de New Jersey comprend quatre écoles primaires et compte environ 2 000 élèves. Elle a été également victime d’une attaque de cryptoransomware qui a mis ses systèmes informatiques hors d’usage. L’attaque s’est produite le 22 mars et a entraîné le chiffrement de documents et de feuilles de calcul, bien que les données sur les étudiants n’aient pas été apparemment touchées.

L’attaque a mis hors service une partie importante du réseau, y compris les systèmes de communications internes et externes du district scolaire, voir le système de point de vente utilisé par les élèves pour payer leurs repas.

L’école a été obligée de recourir à un stylo et à du papier suite à cet incident. Son administrateur réseau a dit : « On est de nouveau en 1981 ! ».

Los Angeles Community College District (LACCD) a dû verser une rançon de 28 000$

Un ransomware a été installé sur le réseau informatique du LACCD, mettant non seulement les postes de travail du collège hors service, mais aussi son système de messagerie électronique et son système de messagerie vocale.

Des centaines de milliers de fichiers ont été chiffrés, et l’incident a touché la plupart de ses 1 800 employés et 20 000 étudiants.

Une demande de rançon de 28 000$ a été émise par les attaquants. L’école n’avait d’autre choix que de payer la rançon pour déverrouiller ses systèmes.

Le Calallen Independent School District a rapporté une attaque par ransomware

Le Calallen Independent School District, dans le nord-ouest de Corpus Christi, est l’une des dernières victimes d’une attaque par rançon.

En juin, l’attaque a commencé avec un poste de travail avant de se propager à d’autres systèmes. Cette fois, aucune donnée étudiante n’a également été compromise ou volée et le service informatique était en mesure d’agir rapidement pour pouvoir isoler les parties du réseau touchées, ce qui a mis un terme à sa propagation.

L’attaque a quand même causé des perturbations considérables, notamment pour la réparation des serveurs et des systèmes. Le district scolaire a également dû faire un investissement conséquent pour améliorer son système de sécurité afin de prévenir des attaques similaires.

Prévention des attaques de malwares et de ransomwares dans les écoles

Les attaques de malwares dans les écoles peuvent se produire par l’intermédiaire d’un certain nombre de vecteurs différents. Les attaques de NotPetya ont par exemple profité des vulnérabilités logicielles qui n’avaient pas été corrigées.

Les attaquants ont pu les exploiter à distance, sans interaction de l’utilisateur. Mais Microsoft a publié un correctif pour pouvoir corriger les failles et les empêcher deux mois avant l’attaque.

Les vulnérabilités logicielles peuvent également être exploitées via des kits d’exploitation. Il s’agit de kits de piratage chargés sur des sites Web malveillants qui recherchent les vulnérabilités des navigateurs et des plug-ins et exploitent ces vulnérabilités pour télécharger discrètement des ransomwares et des malwares.

S’assurer que les navigateurs et les plug-ins sont à toujours à jour est un des moyens pour prévenir ces attaques. Cependant, il n’est pas possible de garantir que tous les ordinateurs sont à 100 % à jour à tout moment. De plus, il y a toujours un certain délai entre le développement d’un kit d’exploitation et la sortie d’un correctif.

Ces attaques de malwares sur le web dans les écoles peuvent être évitées en utilisant une solution de filtrage Web. Un filtre Web peut empêcher les utilisateurs finaux d’accéder à des sites Web malveillants qui contiennent des kits d’exploitation ou des malwares.

La méthode la plus courante de diffusion de malwares est le spam. Les malwares (ou téléchargeurs de malwares) sont envoyés sous forme de pièces jointes malveillantes dans les spams. L’ouverture des pièces jointes entraîne une infection. Les liens vers des sites Web qui téléchargent des malwares sont également envoyés par ce moyen.

Vous pouvez empêcher les utilisateurs de visiter ces sites malveillants si vous utilisez un filtre Web. Par ailleurs, une solution avancée de filtrage des spams peut bloquer les attaques de malwares dans les écoles en garantissant que les e-mails malveillants ne sont pas envoyés dans les boîtes de réception des utilisateurs finaux.

TitanHQ peut aider les écoles, collèges et universités à améliorer leurs défenses contre les malwares

TitanHQ offre deux solutions de cybersécurité qui peuvent prévenir les attaques de malwares dans les écoles. WebTitan est un filtre Web 100% dans le cloud qui empêche les utilisateurs finaux de visiter des sites Web malveillants, y compris les sites de phishing et ceux qui téléchargent des malwares et des ransomwares.

WebTitan ne nécessite aucun matériel et aucun téléchargement de logiciel. Il peut être installé facilement et rapidement, même si vous n’avez aucune compétence technique. WebTitan peut également être utilisé pour bloquer l’accès à des contenus inappropriés tels que la pornographie, ce qui aide les écoles à se conformer à la CIPA ou « Children’s Internet Protection Act ».

SpamTitan est une solution avancée de filtrage de spam pour les écoles. Il peut bloquer plus de 99,9 % des spams et empêcher les messages malveillants d’être envoyés aux utilisateurs finaux. Si vous l’utilisez avec WebTitan, votre école sera bien protégée contre les attaques de malwares et de ransomwares.

Pour en savoir plus sur WebTitan et SpamTitan et si vous voulez plus d’informations sur les prix, contactez l’équipe de TitanHQ dès aujourd’hui. À noter que ces deux solutions sont disponibles pour un essai gratuit de 30 jours, sans obligation d’achat, ce qui vous permet de les tester et déterminer leur capacité à bloquer les cybermenaces.

Les pirates russes ciblent les vulnérabilités des routeurs Wi-Fi

Une récente attaque menée par des pirates informatiques russes a été signalée par des experts américains et britanniques en matière de cybersécurité. Le rapport indique qu’une armée de scripts et de robots a été déployée pour détecter les vulnérabilités des routeurs des petits commerces de détail.

Les routeurs sont installés dans presque n’importe quel établissement en tant que connexion à un fournisseur d’accès à Internet (FAI) ou au réseau WiFi public dans les magasins, les restaurants ou les cybercafés. Ces routeurs offrent une sécurité de base, mais les particuliers et les petites entreprises prennent rarement des précautions pour mettre à niveau leur firmware, en particulier les correctifs de vulnérabilité.

Le département de la Sécurité intérieure des États-Unis (DHS), le Federal Bureau of Investigation (FBI) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont signalé des incidents au cours desquels ils ont constaté une augmentation des attaques liées à la Russie contre des routeurs plus anciens, notamment les pare-feu et les commutateurs des principaux FAI situés principalement aux États-Unis.

Attaques contre les vulnérabilités des anciens firmwares et des mots de passe de routeur inchangés

Ces types d’attaques automatisées ciblent deux vulnérabilités : les firmwares de routeur qui n’ont pas été mis à jour et les routeurs qui utilisent encore les mots de passe par défaut qui sont fournis par les fabricants. Ces deux menaces sont courantes dans les petites entreprises et les résidences individuelles où la cybersécurité est faible. Les utilisateurs laissent souvent le mot de passe par défaut sur la console du routeur sans le savoir. Ce qui permet à toute personne pouvant consulter la liste de mots de passe du fabricant d’accéder à vos réseaux informatiques.

Les systèmes d’exploitation et les logiciels peuvent facilement être mis à jour, mais les routeurs sont souvent oubliés, même dans l’entreprise. Les fabricants de routeurs publient des correctifs sur leur site, mais il est rare que les utilisateurs les téléchargent et les installent. Soit ils ne savent pas que la mise à jour existe, soit ils ne savent pas comment mettre à jour le firmware de leur routeur, car il faut plus de connaissances en réseau informatique pour le faire.

Le 19 avril 2018, l’Équipe d’intervention d’urgence informatique des États-Unis (US-CERT) a émis une alerte (TA18-106A) concernant les cyberacteurs russes parrainés par l’État russe et qui analysent des millions de routeurs à la recherche de failles aux États-Unis et au Royaume-Uni. Un partenaire industriel a découvert l’activité malveillante et l’a signalée au National Cybersecurity & Communications Integration Center (NCCIC) et au FBI. Des scans ont donné aux attaquants la marque et le modèle des routeurs découverts. Ainsi, ils ont pu réaliser un inventaire des dispositifs vulnérables qui pourront ensuite être utilisés à des fins malveillantes.

Parmi ces dispositifs ciblés, on compte :

  • Les dispositifs d’encapsulation de routage générique (GRE) activés.
  • Les dispositifs bénéficiant de la fonctionnalité Cisco Smart Install (CMI)
  • Les périphériques réseau avec des SNMP (Simple Network Management Protocol) activés

Certains dispositifs et périphériques intègrent des pare-feu et des commutateurs des FAI des infrastructures critiques et des grandes entreprises.

Mais la majorité d’entre eux comprennent les routeurs grand public, y compris les dispositifs d’Internet des Objets (IdO – IoT) basés sur le consommateur.

Selon le coordonnateur de la cybersécurité du Conseil national de sécurité, Rob Joyce, il y a une forte probabilité que la Russie ait mené une campagne bien coordonnée pour avoir accès à une entreprise ; à des petits routeurs de bureau ; à des bureaux à domicile (connus sous le nom de SOHO) et à des routeurs résidentiels à travers le monde.

Les routeurs piratés utilisés pour les attaques « Man-in-the-Middle »

Une fois que le routeur est piraté, les cybercriminels peuvent l’utiliser pour mener des attaques Man-in-the-Middle (MitM) qui soutiennent l’espionnage d’entreprise. Ils peuvent accéder aux informations d’identité ou intercepter des données telles que la propriété intellectuelle, car des utilisateurs non avertis peuvent continuer à utiliser les appareils compromis.

Les attaques MitM peuvent être difficiles à détecter pour l’utilisateur final parce qu’il n’y a pas de virus ou de malwares qui interrompent l’activité. Par ailleurs, le trafic peut fonctionner naturellement lorsque l’attaquant se fait voler les données à son insu.

Les experts rapportent que des millions d’appareils ont déjà été piratés et cela pourrait conduire à de futures attaques qui exploiteraient des appareils compromis. Les FAI et toutes les entreprises utilisant encore des routeurs achetés au détail devraient mettre à jour leurs firmwares et s’assurer que les mots de passe par défaut sont changés.

Les attaques parrainées par l’État russe se sont multipliées au fil des ans. Les vulnérabilités constatées par ces attaquants ont été utilisées pour influer sur les élections, réduire les réseaux électriques et arrêter la productivité des entreprises dans le monde entier. Les années précédentes, ils visaient principalement l’Ukraine. Pourtant, l’attaque susmentionnée se concentrait essentiellement sur les entreprises et les FAI basés aux États-Unis.

Ce n’est pas la première fois que des agents russes ciblent les SOHO et les appareils résidentiels. Au cours des deux dernières années, le Département de la sécurité intérieure a été témoin de l’activité russe en matière d’analyse des vulnérabilités des routeurs. Comme de nombreux pirates informatiques, ces auteurs parrainés par la Russie tirent parti des dispositifs obsolètes et des configurations de sécurité faibles.

Souvent, les routeurs et autres dispositifs similaires ne sont pas entretenus ou gérés avec la même vigilance et le même souci de sécurité que les serveurs et les ordinateurs. Un nombre important de ces routeurs et périphériques continuent d’utiliser leurs mots de passe administrateur par défaut, tandis que d’autres ne sont plus supportés par les correctifs de sécurité ou de firmware.

L’alerte TA18-106A conseille à tous les propriétaires de routeurs de modifier toutes les informations d’identification par défaut et d’utiliser des mots de passe différents sur plusieurs périphériques. Des mots de passe simples tels que « 12345678 » ne doivent plus être utilisés, car les attaquants peuvent utiliser la force brute pour spammer différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que l’appareil soit accessible. Le DHS recommande également de « retraiter et remplacer les anciens dispositifs » qui ne peuvent pas être mis à jour.

Attaques DDoS contre des sites gouvernementaux

L’alerte technique s’adresse également aux fabricants, les encourageant à commencer à concevoir des types d’appareils qui mettent en avant la sécurité dès le départ. Cela signifierait que les protocoles obsolètes et non chiffrés ne seraient plus supportés.

D’autres mesures pourraient inclure des changements forcés de mot de passe lorsque les dispositifs comme les routeurs sont démarrés pour la première fois, y compris les nombreux ordinateurs au niveau de l’entreprise.

Quant à la multitude d’appareils IoT dans utilisés dans les foyers aujourd’hui, ils sont souvent dépourvus de tout système de sécurité pour les rendre économiques et abordables.

C’est la première fois que des représentants du gouvernement s’adressent au public et aux fabricants pour leur donner des conseils sur la façon d’améliorer la sécurité des dispositifs pouvant être remis en cause.

Les représentants du gouvernement estiment que cet effort de balayage à grande échelle fait partie du grand plan de Poutine visant à perturber l’Occident. La question est de savoir à quelle fin. Les routeurs exploités par les FAI peuvent être utilisés à des fins d’espionnage pour voler la propriété intellectuelle ou pour saisir les informations des clients des FAI. Les pirates peuvent les utiliser au moment le plus opportun.

Des routeurs domestiques et des dispositifs IoT compromis peuvent aussi être utilisés pour coordonner des DDoS ou attaques par déni de service massives contre les sites gouvernementaux et l’infrastructure Internet. Ce qui les rend intéressantes, c’est que les Russes peuvent plaider la négation de telles attaques en cas de besoin.

« Une fois que vous possédez le routeur, vous possédez le trafic », déclare un haut responsable de la cybersécurité du DHS.

En réalité, les cyberattaques parrainées par l’État russe constituent une préoccupation de sécurité nationale pour les États-Unis et le Royaume-Uni. Ils peuvent utiliser les vulnérabilités pour affecter les élections, les réseaux électriques et le commerce. Les États-Unis ont déjà combattu contre les attaques de la Russie, celles menées en Iran et en Corée du Nord.

En publiant cette récente alerte, les deux pays envoient un message clair à Poutine et à son gouvernement, en affirmant que « ces actes malveillants sont inacceptables et ne seront pas tolérés. Un responsable britannique a déclaré : « L’attribution de cette activité malveillante envoie un message clair à la Russie : nous savons ce que vous faites et vous n’y parviendrez pas. ».

Bien entendu, les Russes ont répondu à ces accusations. Dans un commentaire envoyé par e-mail à l’ambassade de Russie à Londres, un porte-parole russe a déclaré que les accusations et les spéculations étaient imprudentes, provocatrices et sans fondement. La déclaration demandait également aux deux pays occidentaux d’apporter des preuves à l’appui de ces affirmations farfelues.

Pendant de nombreuses années, on a dit que les pays qui pouvaient contrôler les océans par leurs forces marines ou dominer le ciel par leur présence aérienne pouvaient contrôler la guerre. À l’avenir, ceux qui contrôlent l’infrastructure mondiale de l’Internet auront également un avantage significatif.

Les périphériques piratés peuvent être utilisés lors de futures attaques

L’espionnage d’entreprise n’est pas la seule conséquence des attaques cybercriminelles.

Les pirates peuvent aussi laisser un code de porte dérobée (backdoor) qui reste inactif en attendant qu’ils décident plus tard d’attaquer les entreprises. Les DDoS ont été à l’origine de certaines des plus grandes cyberattaques sur Internet et qui ont détruit les grandes entreprises, notamment les protocoles Internet critiques tels que DNS.

Étude de cas

En tant que fournisseur de services de filtrage Web, Family-Guard croît à un rythme effarant, ajoutant quotidiennement des clients à son service. WebTitan pour Wi-Fi permet à Family-Guard d’offrir facilement à ses clients des contrôles de contenus Web. Déployée en tant que service cloud, cette solution est basée sur le DNS et ne requiert qu’une simple redirection DNS vers les serveurs WebTitan. Découvrez ici l’étude de cas complet de ce fournisseur de services de filtrage Web.

Forte couche de protection pour les routeurs et la configuration Wi-Fi

De nos jours, Internet est devenu indispensable pour la majorité des gens. Malheureusement, les sites Web malveillants, les spywares et les virus présentent de réelles menaces ses utilisateurs et celles-ci ne doivent tout simplement pas être ignorées.

Si vous offrez le Wi-Fi public ou possédez un routeur Wi-Fi pour la connectivité Internet publique, vous pourrez réduire le risque d’attaques en ligne et vous pourrez contrôler la navigation Web en utilisant WebTitan Cloud for Wi-Fi.

WebTitan Cloud for Wi-Fi ajoute une forte couche de protection au routeur et à la configuration Wi-Fi de vos clients. Il est impératif que le Wi-Fi public ait toujours des règles strictes de cybersécurité, et tout firmware de routeur doit être régulièrement mis à jour. WebTItan vous aide dans ce cas à fournir une excellente sécurité informatique. Enfin, grâce à cette solution, les MSP qui vendent des routeurs utilisant le Wi-Fi WebTitan peuvent garantir un accès Wi-Fi sécurisé et filtré à leurs clients.