Le cheval de Troie TrickBot comprend désormais un module pour les attaques par bruteforce RDP

Le cheval de Troie TrickBot comprend désormais un module pour les attaques par bruteforce RDP

Le cheval de Troie TrickBot est un cheval de Troie bancaire sophistiqué qui a été identifié pour la première fois en 2016. Si, à l’origine, le malware cherchait à voler des informations telles que les références bancaires en ligne, il a considérablement évolué au cours des quatre dernières années. Plusieurs modules ont été ajoutés, fournissant une foule de capacités malveillantes supplémentaires à TrickBot.

Les capacités du cheval de Troie à voler des informations ont été considérablement améliorées. En plus des références bancaires, il peut désormais voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique et des données fiscales et de propriété intellectuelle.

TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau. Pour ce faire, il utilise des utilitaires Windows légitimes et le kit d’exploitation EternalRomance pour exploiter les machines présentant des vulnérabilités au niveau du service SMBv1 de Windows.

Le malware peut également ajouter une porte dérobée pour avoir un accès persistant à un serveur afin de télécharger des malwares et d’autres charges utiles malveillantes, y compris le ransommware Ryuk.

Le cheval de Troie est fréquemment mis à jour et de nouvelles variantes sont régulièrement publiées. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une analyse de Bitdefender, plus de 100 nouvelles adresses IP sont y sont ajoutées chaque mois, dont chacun a une durée de vie d’environ 16 jours.

Le malware et son infrastructure sont très sophistiqués et, bien que des mesures aient été prises pour les démanteler, les attaquants parviennent toujours à garder une longueur d’avance sur les concepteurs de systèmes de sécurité.

TrickBot est principalement distribué via des spams, par l’intermédiaire du réseau de botnet Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot.

L’infection par TrickBot entraîne ensuite l’ajout d’un ordinateur au réseau de zombies Emotet. Une fois que toutes les informations utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs de Ryuk ransomware, lesquels pourront alors accéder au système.

Une analyse récente d’une variante détectée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à l’arsenal de TrickBot. Le cheval de Troie dispose désormais d’un module des attaques par force brute sur le protocole Remote Desktop (RDP).

Les attaques par force brute RDP sont principalement menées contre les organisations qui interviennent dans les secteurs des services financiers, de l’éducation et des télécommunications. Elles visent actuellement des organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques s’étendent géographiquement dans les prochaines semaines.

Elles sont menées pour voler la propriété intellectuelle et les informations financières.

Comme le cheval de Troie TrickBot est modulaire, il peut être constamment mis à jour avec de nouvelles fonctionnalités. L’évolution du malware jusqu’à présent et son taux de succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en appliquant une bonne cyber-hygiène.

Le spam reste le principal mode de diffusion des chevaux de Troie Emotet et TrickBot. Pour les contrer, il est donc indispensable de mettre un filtre antispam avancé.

Étant donné que de nouvelles variantes seront constamment diffusées, les méthodes de détection basées sur les signatures ne suffisent plus à elles seules.

SpamTitan intègre une sandbox alimentée par Bitdefender qui permet d’analyser les pièces suspectes jointes aux e-mails. Le sandboxing permet de détecter les éventuelles activités malveillantes et de garantir qu’elles (et que les nouvelles variantes de malwares jamais vues auparavant) sont identifiéee. Il garantit également que les e-mails suspects sont mis en quarantaine avant qu’ils ne puissent causer aucun dommage.

Si vous n’avez pas besoin du protocole RDP, assurez-vous qu’il est désactivé. Si vous en avez besoin, assurez-vous que l’accès est restreint et que des mots de passe forts sont définis. Utilisez la limitation d’accès pour bloquer les tentatives de connexion après un certain nombre d’échecs et assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants volés.

Pour plus d’informations sur SpamTitan Email Security, et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe de TitanHQ dès aujourd’hui.

Attaque du ransomware Ryuk contre la municipalité américaine de Durham

Attaque du ransomware Ryuk contre la municipalité américaine de Durham

La ville et le comté de Durham en Caroline du Nord ont subi une attaque de ransomware qui les a tous deux paralysés. L’attaque a commencé le 6 mars en fin de soirée, ce qui est courant pour les attaques de ransomware.

En réalité, la plupart des attaques de ransomware ont lieu le soir et le week-end, lorsqu’il y a moins de chances que le chiffrement des fichiers soit détecté.

Attaque contre la municipalité de Durham en Caroline du Nord

Deux attaques distinctes ont eu lieu simultanément. Une action rapide du département informatique a permis de contenir l’attaque, mais pas à temps pour empêcher l’infection d’environ 80 serveurs. Ces serveurs ont été chiffrés et ont dû être reconstruits, tandis qu’environ 1 000 ordinateurs ont dû être réinstallés.

Les cybercriminels disposent de nombreux moyens pour accéder aux réseaux d’entreprises afin de déployer des malwares, mais la messagerie électronique est le vecteur d’attaque le plus courant. La plupart des cyberattaques commencent par un e-mail de phishing et celle qui s’est produite à Durham n’était pas différente.

Le ransomware Ryuk a été utilisé pour chiffrer des fichiers sur le réseau afin d’extorquer de l’argent à la ville et au comté de Durham. Une demande de rançon a été émise qui, selon l’étendue du chiffrement, était estimée entre plusieurs milliers et plusieurs millions d’euros.

Toutefois, cette phase de l’attaque n’était que la partie la plus visible et la plus perturbatrice, car l’attaque a commencé beaucoup plus tôt.

Comment fonctionne le ransomware Ryuk ?

Le ransomware Ruyk est fourni par le cheval de Troie TrickBot, un voleur d’informations qui est devenu plus tard un téléchargeur de malwares. Une fois installé sur un appareil connecté à un réseau, TrickBot effectue une reconnaissance, se déplace latéralement et s’installe sur d’autres ordinateurs du réseau.

Lorsque toutes les informations utiles ont été trouvées et exfiltrées, un tunnel inversé ou « reverse shell » s’ouvre et les opérateurs de malwares disposent désormais l’accès aux différents systèmes. Les malwares se déplacent alors latéralement et téléchargent leur charge utile de ransomware sur le plus grand nombre possible d’appareils connecté au réseau.

TrickBot est téléchargé par le malware Emotet, un botnet notoire. Emotet, quant à lui, est livré par le biais de la messagerie électronique. Les campagnes d’Emotet ont utilisé une combinaison de documents Microsoft Office intégrant des macros malveillantes qui entraînent le téléchargement de la charge utile du malware et des hyperliens vers des sites web où le malware est téléchargé.

TrickBot peut également être diffusé directement via des spams. Ce trio de variantes de malwares peut causer des dommages considérables. Et même si la rançon n’est pas payée, les pertes peuvent être considérables. Entre autres, ces chevaux de Troie peuvent voler une quantité importante d’informations sensibles, notamment des identifiants de connexion à des comptes de messagerie électronique, des données bancaires, des informations fiscales et la propriété intellectuelle.

Pour notre cas, sept ordinateurs semblaient avoir été compromis lors de la première phase de l’attaque lorsque certains employés ont répondu à des e-mails de phishing.

Comment se protéger contre le ransomware Ryuk ?

La clé pour contrer de telles attaques est de mettre en place des défenses à plusieurs niveaux capables de bloquer l’attaque initiale. Cela signifie qu’une solution avancée de filtrage du spam est nécessaire pour bloquer les premiers e-mails de phishing.

Il importe également de fournir régulièrement des formations aux utilisateurs finaux sur la sécurité web afin qu’ils puissent identifier les e-mails malveillants qui arrivent dans leurs boîtes de réception.

En outre, il faut appliquer l’authentification multifactorielle pour empêcher l’utilisation des identifiants de connexion volés et empêcher donc les pirates d’accéder aux comptes de messagerie des utilisateurs finaux.

Enfin, il convient de déployer des solutions de sécurité des points finaux pour détecter les malwares qui pourraient être téléchargés par inadvertance par les utilisateurs finaux.

Vous voulez en savoir plus sur la protection de vos systèmes contre le phishing et les attaques de malwares ? Vous voulez connaître la manière dont un faible coût mensuel par utilisateur peut empêcher une cyberattaque extrêmement coûteuse ? Appelez l’équipe de TitanHQ dès aujourd’hui.

Comment les ransomwares sont-ils livrés et comment pouvez-vous bloquer leurs attaques ?

Comment les ransomwares sont-ils livrés et comment pouvez-vous bloquer leurs attaques ?

Il existe de nombreuses façons de télécharger des ransomwares sur les réseaux d’entreprises, mais le plus souvent, cela se fait via le protocole RDP (Remote Desktop Protocol), via les téléchargements par « drive-by » ou par le biais du courrier électronique.

Explications.

Attaques RDP

Les pirates peuvent faire des scans sur les ports RDP de votre entreprise pour découvrir ceux qui sont ouverts. Ceux-ci peuvent ensuite être attaqués par le biais des tactiques de la force brute, permettant ainsi aux pirates de deviner des mots de passe faibles.

Les cybercriminels ajoutent également à leur liste de mots de passe les informations provenant de violations de données qui se sont produites auparavant.

La meilleure façon de vous défendre contre cette méthode de distribution de ransomware est de désactiver complètement le RDP.

Cependant, ce protocole est souvent nécessaire pour la gestion à distance ou l’accès à distance à des bureaux virtuels. Si le RDP ne peut pas être désactivé, d’autres mesures doivent être prises pour le rendre aussi sûr que possible.

L’utilisation de mots de passe forts est importante pour bloquer les tentatives de détection des mots de passe par la force brute. Pour ce faire, vous devriez suivre les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la création de mots de passe complexes.

Ceux-ci doivent être uniques et ne doivent pas être utilisés sur une autre plateforme en ligne. Une authentification à deux facteurs doit également être mise en place pour empêcher l’utilisation des identifiants de connexion volées.

Vous devez vous assurer que vous utilisez les dernières versions de logiciels pour vos serveurs et vos périphériques. Les connexions RDP aux ports d’écoute RDP ne doivent être autorisées que par le biais d’un VPN sécurisé et, idéalement, une passerelle RDP doit être utilisée.

En outre, vous devez limiter le nombre de personnes autorisées à se connecter à un bureau à distance. Enfin, vous devez utiliser la limitation de débit pour bloquer les utilisateurs après un certain nombre de tentatives infructueuses de saisie de mot de passe correct.

Téléchargements de ransomwares par « drive-by »

Les téléchargements par « drive-by » se produisent sur des sites web contrôlés par des pirates informatiques, qu’il s’agisse de leurs propres sites ou de sites non sécurisés ayant été compromis.

Des scripts malveillants ajoutés aux sites web pouvant télécharger des ransomwares et d’autres malwares peuvent infecter l’appareil d’un utilisateur lorsque celui-ci visite la page web malveillante.

Cela signifie que cette méthode d’attaque ne nécessite aucune interaction de l’utilisateur, hormis la visite du site web malveillant.

Mais l’infection peut également se produire via un clic sur un lien malveillant dans un e-mail, via une redirection ou par le biais d’une simple navigation sur le web.

Un filtre web tel que WebTitan est l’une des meilleures défenses contre les téléchargements de ransomwares par « drive-by ». WebTitan est une solution de filtrage DNS qui empêche les utilisateurs finaux de visiter des sites web connus pour être malveillants.

S’ils tentent de visiter un site web malveillant connu, ils seront dirigés vers une page de blocage locale, plutôt que de se connecter au site web.

WebTitan peut également être configuré pour bloquer les téléchargements de fichiers à risque, tels que les fichiers exécutables.

Attaques de ransomwares basées sur le courrier électronique

Souvent, les ransomwares peuvent aussi être livrés via le courrier électronique. Il peut s’agir d’un lien hypertexte intégré au message et qui pointe vers un site web où un téléchargement par « drive-by » peut avoir lieu. En outre, l’e-mail peut contenir des scripts malveillants dans des pièces jointes.

La protection contre les attaques par courrier électronique nécessite une approche approfondie, car aucune solution unique ne peut assurer une protection totale contre toutes les attaques lancées via les e-mails.

Une solution avancée de sécurité du courrier électronique telle que SpamTitan doit être mise en œuvre. SpamTitan scanne tous les courriels entrants et sortants et utilise diverses techniques comme l’apprentissage-machine pour identifier et bloquer les courriels potentiellement malveillants.

SpamTitan intègre deux moteurs antivirus qui détectent les variantes connues de malwares et une sandbox pour analyser les fichiers suspects à la recherche d’actions malveillantes. Le sandboxing vous protège contre les variantes de malwares et de ransomwares jamais vus auparavant.

La formation des utilisateurs finaux est également importante pour s’assurer qu’ils puissent reconnaître les courriels malveillants au cas où ils en recevraient un dans leurs boites de réception. Une solution de filtrage du web, quant à elle, permet de s’assurer que toute tentative de visite d’un site web malveillant via un lien hypertexte dans un courriel ou dans une pièce jointe est bloquée avant le téléchargement d’un ransomware.

Les ransomwares peuvent être utilisés en tant que charge utile secondaire

Plusieurs concepteurs de ransomwares utilisent des malwares de base pour livrer d’autres charges utiles. Les acteurs de la menace derrière le ransomware DoppelPaymer utilisaient par exemple le cheval de Troie bancaire Dridex pour livrer leurs charges utiles malveillantes, tandis que le gang derrière l’attaque de ransomware Ryuk utilisait le cheval de Troie TrickBot.

Même si ces infections de malwares de base sont découvertes et supprimées, les pirates informatiques peuvent toujours avoir accès à vos systèmes.

Ces infections sont souvent considérées comme relativement insignifiantes et lorsque de nouvelles variantes de malwares sont découvertes, les menaces qu’elles représentent ne sont pas correctement étudiées.

Pourtant, même si les chevaux de Troie peuvent être supprimés, d’autres malwares peuvent continuer à se propager latéralement avant de déployer leurs charges utiles de ransomwares.

Dans le cas de TrickBot, une fois qu’il est téléchargé, ce ransomware se met au travail en récoltant des données telles que des fichiers de mots de passe, des cookies et d’autres informations sensibles.

Suite à cela, un tunnel inversé (reverse shell) s’ouvre au ransomware Ryuk, lequel va effectuer une reconnaissance du réseau et tenter d’obtenir des identifiants d’administrateur. Il utilise ensuite PSExec et d’autres outils Windows pour déployer le ransomware sur tous les appareils connectés au réseau ciblé.

C’est exactement ce qui s’est passé lors de l’attaque contre la société d’e-Discovery, Epiq Global. L’infection initiale du TrickBot s’est produite en décembre 2019. L’accès a été fourni aux développeurs de Ryuk qui ont déployé le ransomware le 29 février 2020. Avant le déploiement de Ryuk, ils ont compromis les ordinateurs des 80 bureaux d’Epiq dans le monde.

TrickBot et les autres chevaux de Troie sont principalement livrés par le biais de courriels de phishing. SpamTitan vous aidera à vous protéger contre ces chevaux de Troie et bien d’autres téléchargeurs de ransomwares.

Le ransomware Coronavirus se fait passer pour l’installateur de WiseCleaner

Le ransomware Coronavirus se fait passer pour l’installateur de WiseCleaner

De nombreuses campagnes de phishing ont été détectées, utilisant le nouveau coronavirus comme appât. Récemment, une nouvelle variante de ransomware appelée CoronaVirus a été détectée et analysée par MalwareHunterTeam.

Le ransomware CoronaVirus est distribué par un site web malveillant et il se fait passer pour un logiciel appelé WiseCleaner. Cet outil peut être utilisé pour nettoyer le registre et supprimer les fichiers dupliqués ainsi que les fichiers indésirables des ordinateurs.

WiseCleaner est un outil logiciel légitime, mais le site web utilisé dans cette campagne est un faux.

On ignore actuellement comment le trafic vers le site web a été généré. Les campagnes de ce type utilisent généralement de la publicité malveillante diffusée via les réseaux publicitaires et qui redirige les utilisateurs vers des sites web malveillants. Ces publicités sont affichées sur de nombreux sites web légitimes qui utilisent des réseaux publicitaires tiers pour générer des revenus supplémentaires.

Si un internaute essaie de télécharger WiseCleaner à partir du site web malveillant (le site web authentique étant wisecleaner.com), un fichier nommé WSHSetup.exe sera téléchargé. L’exécution de ce fichier téléchargera deux charges utiles malveillantes : le ransomware CoronaVirus et le cheval de Troie Kpot.

Le cheval de Troie Kpot est un voleur d’informations qui dérobe une variété d’informations d’identification sur différentes sortes d’applications comme Skype, Steam, Discord, VPN, la messagerie électronique ainsi que les mots de passe FTP.

Le cheval de Troie Kpot vole des informations telles que les références bancaires qui ont été enregistrées dans les navigateurs et peut également voler des porte-clés cryptographiques.

Le fichier exécutable tente également de télécharger d’autres fichiers, bien qu’actuellement seuls deux fichiers aient été téléchargés. En effet, les pirates semblaient vouloir télécharger un cocktail de malwares.

Lorsque CoronaVirus est téléchargé et exécuté, il chiffre une série de fichiers différents. Les fichiers chiffrés sont renommés à l’aide de l’adresse électronique de l’attaquant, mais l’extension de fichier d’origine est conservée. Une note de rançon est déposée dans chaque dossier où les fichiers sont chiffrés.

Il est intéressant de noter que la demande de rançon est très faible. Les attaquants ne font payer que 0,08 Bitcoin, soit environ 512 euros, pour fournir les clés permettant de déchiffrer les fichiers. Cela dit, il semble donc que la « rançon » n’est pas l’objectif principal de la campagne. Il s’agit plutôt de distribuer le cheval de Troie Kpot, d’autres charges utiles et des malwares potentiellement malveillants. Le ransomware CoronaVirus n’est peut-être qu’une diversion.

Il n’existe actuellement aucune solution de déchiffrement connu pour le ransomware CoronaVirus et il n’est pas certain que les attaquants puissent – ou veuillent – fournir des clés valides permettant de récupérer des fichiers chiffrés.

Les entreprises peuvent se protéger contre de telles attaques en veillant à sauvegarder régulièrement tous leurs fichiers et à stocker les sauvegardes hors ligne. Une solution de filtrage web devrait également être mise en place pour empêcher le téléchargement de fichiers malveillants.

Les filtres web peuvent être configurés de manière à empêcher les employés de visiter des sites web malveillants et à bloquer les téléchargements de types de fichiers à risque, comme les fichiers .exe.

Pour plus d’informations sur le filtrage web et pour savoir comment WebTitan – la solution de filtrage web de TitanHQ – peut vous aider à protéger votre entreprise des cyberattaques, appelez l’équipe commerciale de TitanHQ dès aujourd’hui.

L’attaque de ransomware contre Travelex met en lumière l’évolution des tactiques de cyber-rançon

L’attaque de ransomware contre Travelex met en lumière l’évolution des tactiques de cyber-rançon

L’attaque de ransomware contre la société de change britannique Travelex, qui a débuté aux alentours du 31 décembre 2019, est l’une des récentes attaques de cyber-rançon où les acteurs de la menace ont augmenté la mise en menaçant de publier les données volées aux victimes avant le déploiement du ransomware.

Une nouvelle tendance dans les attaques de ransomware

Pour la plupart des attaques de ransomware – en particulier celles menées par des affiliés utilisant des ransomware-as-a-service – le ransomware est déployé instantanément.

Un employé reçoit une pièce jointe malveillante par e-mail. Une fois qu’il ouvre la pièce jointe, le processus de chiffrement est lancé. Aujourd’hui, plusieurs acteurs de la menace ont pris des mesures pour augmenter la probabilité que leur demande de rançon soit payée.

L’Agence de la cybersécurité et de la sécurité des infrastructures du ministère américain de la sécurité intérieure a récemment émis des avertissements sur l’évolution des tactiques de demande de rançon. Elles impliquent désormais le vol de données avant le chiffrement des fichiers. Cette tactique n’est pas nouvelle, car plusieurs groupes de cybercriminels mènent ce type d’attaque depuis un certain temps, et le nombre d’attaques ne fait qu’augmenter.

Dès que les pirates accèdent au réseau de votre entreprise, ils se déplacent latéralement et accèdent au plus grand nombre de dispositifs possible. Ils peuvent voler des données puis déployer des ransomwares. Dans ce type d’attaques, le délai entre la compromission initiale et le déploiement des ransomwares peut généralement prendre plusieurs mois.

Les données peuvent être volées et vendues en ligne avec le ransomware déployé comme un coup de grâce après un compromis à long terme pour extorquer de l’argent à l’entreprise. Aujourd’hui, il est de plus en plus fréquent qu’une menace soit émise en même temps que la demande de rançon et que les données volées soient publiées ou vendues si la rançon n’est pas payée.

Cette tactique a été adoptée par les pirates derrière le ransomware Maze. Ils sont allés de l’avant, en menaçant de publier les données volées au cas où la rançon ne serait pas payée. Les cybercriminels qui utilisent les logiciels MegaCortex et LockerGoga ont également émis des menaces similaires.

Aujourd’hui, le groupe de pirates derrière le ransomware Sodinikibi (REvil) a également changé de tactique et a commencé à menacer leurs victimes de publier les données qu’ils ont volées, et il l’a fait récemment. Il a attaqué Artech Information Systems, l’une des plus grandes sociétés de recrutement de personnel informatique aux États-Unis.

Lorsque la demande de rançon n’a pas été payée, 337 Mo de données volées ont été publiées sur un forum russe de piratage et de malwares. L’attaque de ransomware contre Travelex est l’une des dernières attaques du logiciel Sodinokibi, et les pirates ont également menacé de publier les données volées.

Focus sur l’attaque de ransomware contre Travelex

La veille du Nouvel An, Travelex a mis ses systèmes hors ligne pour contenir l’infection et limiter les dégâts causés. Plus de deux semaines plus tard, les systèmes de Travelex étaient toujours hors ligne, même si la société a commencé à restaurer certains de ses systèmes. Le nombre d’agences touchées par l’attaque – à l’instar des banques et d’autres entreprises qui dépendent de ses services de change – fait de cette attaque l’une des plus graves et des plus dommageables jamais menées.

Étant donné que ses systèmes étaient hors ligne, Travelex n’a pas été en mesure de fournir ses services de change à des banques telles que HSBC, Royal Bank of Scotland, NatWest, First Direct, Barclays et Lloyds, qui dépendent toutes de Travelex pour la fourniture de leurs services de change.

De nombreuses autres entreprises, telles que les chaînes de supermarchés Sainsbury’s et Tesco, ont également dû cesser de fournir des services de change en ligne à leurs clients. Travelex a été contraint de fournir des services manuellement, à l’aide de stylos et de papiers, pour les échanges de devises de gré à gré dans ses succursales. Plus de 70 pays dans lesquels Travelex opère ont été touchés par l’attaque.

Travelex n’a diffusé qu’une quantité limitée d’informations sur l’attaque, mais les pirates ont été en contact avec plusieurs médias. Selon les premiers rapports, les pirates ont reclamé plus de 2,7 millions d’euros contre les clés de déchiffrement des fichiers, mais la demande a doublé pour atteindre plus de 5,4 millions d’euros lorsque la société n’a pas payé la rançon dans les 2 jours prévus. Les pirates ont également menacé de publier les données volées lors de l’attaque si le paiement n’était pas effectué dans les 7 jours.

Travelex a publié une déclaration affirmant qu’aucune donnée client n’avait été violée et que l’infection était contenue. La situation a été maitrisée, même si les pirates derrière Sodinokibi ont menacé de publier les données clients.

Le pirates qui ont lancé l’attaque via Sodinokibi, par l’intermédiaire d’un porte-parole, a déclaré qu’ils avaient volé 5 Go de données clients. Ces informations comprenaient les noms des clients, leurs dates de naissance, les données relatives aux cartes de crédit, les numéros de sécurité sociale et les numéros d’assurance nationale.

Les pirates ont affirmé que toutes les données volées seraient effacées et ne seraient pas utilisées si la demande de rançon était payée. Par contre, les données seraient vendues si la rançon n’était pas payée. Ils ont également déclaré avoir accès aux systèmes informatiques de Travelex 6 mois avant le déploiement du ransomware.

Comment Travelex a-t-il été attaqué ?

On ne sait pas encore exactement comment le ransomware a été installé sur le réseau de la société, mais plusieurs chercheurs en sécurité ont fourni quelques indices. Selon BleepingComputer, Travelex utilisait des services non sécurisés avant l’attaque.

Le chercheur en sécurité Kevin Beaumont a découvert que Travelex avait des serveurs AWS Windows qui n’avaient pas l’authentification au niveau du réseau activée, ce qui aurait pu donner aux attaquants la possibilité de lancer une attaque.

Une vulnérabilité critique dans la solution d’entreprise Pulse Secure VPN pour les communications sécurisées – CVE-2019-11510 – a été identifiée et a été corrigée par Pulse Secure le 24 avril 2019. Le fait est que de nombreuses entreprises ont tardé à appliquer le correctif, malgré les multiples avertissements de Pulse Secure.

Troy Mursch, directeur de recherche chez Bad Packets, a découvert que Travelex n’avait pas appliqué le correctif au moment où un kit d’exploitation de la vulnérabilité a été publié. Les pirates derrière Sodinokibi ont déclaré avoir compromis le système informatique de Travelex 6 mois avant le déploiement du ransomware.

La reprise est maintenant bien engagée

Le 13 janvier 2020, plus de deux semaines après l’attaque de ransomware, Travelex a publié une déclaration confirmant que le processus de récupération était bien engagé, bien que le site web de l’entreprise soit toujours hors ligne.

La société avait commencé à rétablir ses services de change auprès des banques et de son propre réseau. Le traitement interne des commandes a été rétabli et les systèmes de contact avec la clientèle ont été lentement remis en ligne.

Ce que Travelex n’a pas confirmé, c’est si la société a payé ou non la rançon. Aucune donnée de Travelex ne semble avoir été publiée en ligne, il est donc possible qu’un paiement de rançon ait été négocié avec les attaquants.

Coût de l’attaque de ransomware contre Travelex

Le montant de la rançon était considérable, mais cela ne représente qu’une partie du préjudice si on considère les coûts d’arrêt et de perturbation des services subis par la société.

Aucune donnée client ne semble avoir été mal utilisée, mais Travelex pourrait encore faire face à une avalanche de poursuites de la part de clients, du commissaire à l’information et à la protection de la vie privée et d’autres autorités de protection des données. Travelex a subi d’énormes préjudices, non seulement pour la violation des données de leurs clients, mais aussi pour l’exposition des données ou encore pour le défaut de déclaration dans le cadre du RGPD.

Le RGPD exige que les violations de données soient signalées aux autorités compétentes dans un délai de 72 heures, mais il semble que cela n’ait pas été fait. La sanction financière maximale pour une violation de données selon le RGPD est de 20 millions d’euros ou de 4% du chiffre d’affaires annuel global d’une entreprise, le montant le plus élevé étant retenu.

En 2018, le chiffre d’affaires annuel mondial de Travelex s’élevait à plus de 859 millions d’euros. Une amende de plus de 171 millions d’euros pourrait donc être infligée à la société.

Il convient de noter que même si les données n’ont pas été volées par les attaquants et qu’elles ont simplement été rendues inaccessibles, cela peut être considéré comme une violation de données à signaler dans le cadre du RGPD.

Un paiement de plus de 54,4 millions d’euros ne représenterait qu’une infime partie des pertes totales dues aux temps d’arrêt, aux pertes d’activité, aux poursuites judiciaires et aux amendes réglementaires subis par la société.

Ransomware Ako : une nouvelle menace de malware livrée via le spam

Ransomware Ako : une nouvelle menace de malware livrée via le spam

Un nouveau ransomware dénommé Ako est apparue. Ce dernier cible les réseaux commerciaux et est distribué via le spam. Il est proposé aux affiliés selon le modèle « Ransomware as a Service ».

Le but des attaquants est clair : maximiser la probabilité de paiement de la rançon en rendant la récupération des données et des fichiers chiffrés plus difficile et en volant des données avant leur chiffrement pour garantir que l’attaque est toujours rentable même si la rançon n’est pas payée.

Le fait que les pirates possèdent les données de la victime pourrait également la convaincre de payer, comme nous l’avons vu dans les récentes attaques impliquant les ransomwares Maze et Sodinokibi, où les pirates menaçaient de publier des données volées si la rançon n’était pas payée.

Comment fonctionne le ransomware Ako ?

Les développeurs du ransomware Ako semblent opter pour des paiements de rançon importantes, car ils ne ciblent pas les postes de travail individuels, mais l’ensemble d’un réseau.

Le ransomware analyse les réseaux locaux à la recherche d’autres appareils et chiffre les partages réseau. Puis il supprime les clichés instantanés qui sont enregistrés sur le système et les sauvegardes récentes. Il désactive également les anciens points de restauration Windows pour rendre la récupération plus difficile si la victime ne paye pas la rançon.

Les fichiers chiffrés reçoivent une extension de fichier générée de manière aléatoire et conservent leurs noms de fichier d’origine. Le montant de la rançon n’est pas indiqué dans la notification de rançon. Les victimes doivent contacter les attaquants pour savoir combien ils devront payer pour obtenir les clés permettant de déchiffrer leurs fichiers.

De quel type d’email faut-il se méfier ?

L’un des e-mails interceptés, et qui ont été utilisés pour distribuer le ransomware, utilise un fichier zip protégé par mot de passe en tant que pièce jointe. L’e-mail semble être un accord commercial que le destinataire est invité à vérifier.

Le mot de passe pour ouvrir et extraire le fichier est inclus dans le corps du message. Le fichier zip attaché, nommé agreement.zip, contient un fichier exécutable qui installera le ransomware Ako une fois qu’il sera exécuté. Le fichier malveillant est appelé agreement.scr.

Comment récupérer ses données suite à une attaque d’Ako ?

Il n’y a pas de déchiffreur gratuit pour le ransomware Ako. La victime ne pourra pas récupérer leurs données si elle ne paye pas la rançon, sauf si celle-ci dispose des sauvegardes viables, c’est-à-dire des données qui n’ont pas été chiffrées par les pirates.

Il est donc important de s’assurer que les sauvegardes sont effectuées régulièrement et qu’au moins une copie de la sauvegarde est stockée sur un appareil non connecté au réseau pour éviter qu’elle ne soit également chiffrée par le ransomware. Les sauvegardes doivent également être testées pour s’assurer que la récupération de fichiers soit possible en cas d’incident.

Comment se protéger contre le ransomware Ako ?

Étant donné que le ransomware Ako est distribué via le spam, cela donne aux entreprises la possibilité de bloquer une attaque. Une solution de filtrage anti-spam avancée doit être implémentée pour analyser tous les messages entrants à l’aide de divers mécanismes de détection.

La solution doit également permettre d’identifier les menaces de malware et de ransomware. Par ailleurs, il faut utiliser un Sandbox, une fonctionnalité importante qui permettra d’analyser en toute sécurité les pièces jointes des e-mails pour détecter toute activité malveillante. Cette fonctionnalité améliorera les taux de détection des menaces du type « zero day ».

La formation des utilisateurs est aussi importante pour garantir que les employés n’ouvrent aucun fichier potentiellement malveillant qu’ils reçoivent par e-mail. La formation devrait obliger les employés à ne jamais ouvrir les pièces jointes dans les e-mails non sollicités provenant d’expéditeurs inconnus. Comme le montre cette campagne, tout fichier protégé par mot de passe envoyé dans un e-mail non sollicité doit être considéré comme une menace importante. En général, c’est la manière la plus courante que les pirates utilisent pour distribuer des ransomwares et des malwares, tout en évitant la détection par des solutions antivirus et des filtres anti-spam.

Les solutions anti-spam et les logiciels antivirus ne pourront pas détecter directement la menace si des fichiers malveillants sont envoyés dans des archives protégées par mot de passe. Les règles doivent donc être définies pour mettre en quarantaine les fichiers protégés par mot de passe, lesquels ne devraient être libérés qu’après avoir été vérifiés manuellement par un administrateur. Avec SpamTitan, ces règles sont faciles à définir.

Le ransomware Ako est l’une des nombreuses nouvelles menaces de ransomware publiées ces derniers mois. Si on compte les attaques de grande envergure contre des entreprises, comme celle menées contre Travelex, qui voient des demandes massives de rançon émises et qui sont dans la plupart des cas payées, les pirates réalisent des gains importants.

Les développeurs de ransomwares continueront de développer de nouvelles attaques tant que celles-ci resteront rentables, et il est peu probable que les affiliés soient prêts à lancer des campagnes de spam pour obtenir leur part d’argent sur les rançons.

Face à l’augmentation des attaques cybercriminelles, il est essentiel que vous disposiez de défenses solides, capables de détecter et de bloquer les malwares, les ransomwares et les menaces de phishing. C’est un domaine où TitanHQ peut vous aider.

Pour en savoir plus sur la façon dont vous pouvez améliorer vos défenses contre les e-mails malveillants et sur les menaces web, appelez l’équipe TitanHQ dès aujourd’hui.