Sécurité réseau

Un nombre surprenant de cyber-failles décelées sur les équipements publics

La connexion sans fil est aujourd’hui omniprésente. On se connecte en Wi-Fi tous les jours sur différents points, que l’on croit sûrs et fiables. En vérité, ils ne le sont pas, comme le révèle une récente étude menée par une équipe de chercheurs en cyber-sécurité du magazine informatique allemand CHIP : ils ont trouvé, au total, 226 cyber-failles potentielles dans 9 des routeurs Wi-Fi les plus populaires du moment. La liste des appareils inclut Netgear Nighthawk AX12, Asus ROG Rapture GT-AX11000, Edimax BR-6473AX, Linksys Velop MR9600, AVM FritzBox 7530 AX et AVM FritzBox 7590 AX. En haut de la liste se trouvait TP-Link Archer AX6000 avec 32 failles, suivi de Synology RT-2600ac qui en comporte 30. Un membre du groupe de chercheurs a déclaré : « cette étude a malheureusement dépassé de très loin tout ce que nous imaginions ; c’est une vraie déception quant à la sécurité que nous pensions avoir à la maison et sur les routeurs des petites entreprises ».

L’obsolescence des logiciels est la première cause du phénomène

Il n’est pas surprenant que la première explication du problème réside dans l’ancienneté des logiciels, dépassés : la plupart des machines fonctionnaient avec une version obsolète du noyau Linux. Il y avait aussi quelques ajouts, comme un VPN et un streaming multimédia opérant sur logiciel daté. Plusieurs équipements s’appuyaient trop sur d’anciennes versions de BusyBox combinant plusieurs petites versions de services UNIX rassemblées en un seul programme exécutable. Pour être honnête, le groupe a précisé que si l’on se base sur le prix initial des équipements, le coût engendré par l’intégration d’un nouveau noyau dans le microprogramme (le firmware) des machines ne serait pas rentable. L’équipe de chercheurs a également analysé les versions du microprogramme sur plus de 5000 cyber-failles et divers autres cyber-problèmes. Si les équipements sont effectivement vulnérables face à ces cyber-failles, la plupart d’entre elles sont de moindre importance ; une infime minorité d’entre elles présentent une menace critique.

La responsabilité de l’utilisateur

La plupart des routeurs sans fil réalise sa mise à jour automatiquement pour la dernière version en date. Il en est de même pour le microprogramme, pourvu que l’utilisateur active cette fonction. Voilà pourquoi il est essentiel pour les utilisateurs de vérifier leurs routeurs régulièrement et de les mettre à jour. Trop souvent, les utilisateurs déploient ces routeurs et les oublient. Mais l’expression « loin des yeux, loin du cœur » ne devrait pas s’appliquer à la technologie ! Il est essentiel que les utilisateurs configurent les mises à jour automatiques dès le déploiement, quand c’est possible. Certains routeurs doivent toutefois être mis à jour manuellement. Cela suppose le téléchargement de la dernière version depuis le site du créateur et la mise à jour par ordinateur. Certains utilisateurs sont intimités par ce processus, tandis que d’autres le remettent simplement à plus tard, indéfiniment. Si les mises à jour des routeurs réseau ne sortent pas régulièrement, appliquer un correctif à un routeur sans fil devrait être aussi urgent que ça l’est pour un ordinateur équipé de Windows 10.

Les fournisseurs réagissent à ce constat

L’équipe de chercheurs a informé les fournisseurs des résultats de leur étude et chacun a entrepris de remédier aux cyber-problèmes. Asus les a pour sa part tous résolus et a corrigé la version obsolète de BusyBox, ainsi que quelques logiciels associés. D-Link, Edimax et Linksys ont sorti des mises à jour pour microprogrammes afin de parer au problème. Netgear a lui aussi donné une mise à jour visant à résoudre les menaces critiques, tandis que Synology a publié une importante mise à jour pour le noyau Linux. Ils ont aussi mis à jour BusyBox et PHP. TP-Link a de son côté choisi de s’attaquer aux cyber-failles critiques et s’est engagé à fournir prochainement une solution pour 50 problèmes sur le système.

Changer de mot de passe par défaut

L’une des menaces les plus importantes révélées par l’enquête est l’utilisation d’un mot de passe d’administration aussi simple que « admin ». Si un tel mot de passe peut sembler ridicule, les identifiants par défaut des équipements sont faciles à trouver sur internet ; en conséquence, le mot de passe par défaut est lui aussi très facile à trouver. Si l’obsolescence des logiciels est évidemment un problème, l’utilisation d’un mot de passe très faible est une faille plus grave encore pour les routeurs sans fil. Il est essentiel que les utilisateurs changent de mot de passe d’administration pour un code complexe dès la première utilisation de l’appareil. Sans cela, des imposteurs peuvent se connecter à votre routeur sans fil et en prendre le contrôle. De nombreux ordinateurs demandent aujourd’hui à l’utilisateur de créer un mot de passe dès la première utilisation.

Conclusion

Finalement, les routeurs sans fil sont comme les autres appareils en réseau et les ordinateurs : ils ont besoin d’être régulièrement mis à jour pour combler leurs lacunes et éviter qu’elles ne soient exploitées par des attaques pirates. C’est encore une fois l’absence d’un mot de passe robuste qui permet aux cybercriminels de prendre le contrôle des appareils. Si les fournisseurs doivent faire davantage d’efforts pour concevoir des équipements en gardant la cyber-sécurité à l’esprit, l’utilisateur doit lui aussi prendre ses responsabilités : la sécurité est l’affaire de tous.

TitanHQ annonce son acquisition de Cyber Risk Aware

 

TitanHQ, le leader du marché en matière de cyber-sécurité SAAS, a aujourd’hui annoncé son achat de Cyber Risk Aware, l’une des figures de tête de la sensibilisation à la sécurité informatique et de la réduction des cyber-risques pour l’utilisateur, qui aidait les entreprises et leurs équipes à protéger le réseau de leurs compagnies depuis 2016.

Cyber Risk Aware fournit une formation à la cyber-sécurité aux employés en temps réel, s’adaptant spécifiquement à leur comportement en entreprise. Cet entraînement intuitif et pragmatique réduit la probabilité de voir les employés piégés par les dernières menaces cyber-pirates telles que les logiciels malveillants, les attaques par mails professionnels corrompus (BEC) et les fuites de données, tout en permettant aux compagnies de se mettre en conformité vis-à-vis de la législation. Parmi les entreprises qui font confiance à Cyber Risk Aware, on trouve Standard Charter, Glen Dimplex et Invesco.

Cette acquisition va donner un élan supplémentaire à l’offre déjà très large que propose TitanHQ en matière de cyber-sécurité. L’alliance d’une formation à la sécurité informatique intelligemment pensée avec système de simulation d’hameçonnage et du système sophistiqué de l’offre de TitanHQ quant à la protection avancée des mails et à la sécurité DNS donne lieu à une puissante plateforme, polyvalente et multi-structurée, capable de protéger l’utilisateur contre la fraude de manière optimale. C’est la plateforme ultime pour les fournisseurs de services technologiques et pour les responsables du département informatique en entreprise.

« C’est une adjonction formidable pour l’équipe de TitanHQ, complétant notre offre en cyber-sécurité. Cela nous permet d’ajouter un niveau de protection impliquant le facteur humain à notre plateforme de protection informatique, avec un élément fantastique pour l’enrichir, comme nous le démontre l’envergure des clients qui l’utilisent. Stephen et son équipe ont créé une grande entreprise au fil des ans, et nous sommes heureux de les voir rejoindre TitanHQ pour un avenir commun », a déclaré Ronan Kavanagh, le PDG de TitanHQ.

Stephen Burke, le PDG de Cyber Risk Aware, a lui aussi donné son opinion : « je suis tellement fier de l’acquisition de Cyber Risk Aware par TitanHQ ! Voilà bien longtemps que je tiens en haute estime le marché de la cyber-sécurité. Cette annonce aujourd’hui est merveilleuse pour nos clients et tous nos partenaires. Nous créerons ensemble une plateforme innovante en matière de cyber-sécurité capable de contrer la menace la plus dangereuse lancée par les cybercriminels, qui cause 99% des fuites de données : le ciblage direct de l’utilisateur par « End User Compromise ». Quand j’ai créé Cyber Risk Aware, mon objectif était de devenir le leader de la sensibilisation à la cyber-sécurité, capable de transmettre le bon message au bon utilisateur au bon moment. Maintenant, en tant que membre de TitanHQ, je suis plus enthousiaste que jamais car nous apporterons sur le marché une proposition à nulle autre pareil en termes de valeur. »

SafeTitan : la formation à la cyber-sécurité

L’offre est disponible pour les anciens et les nouveaux clients de TitanHQ, ainsi que pour ses partenaires fournisseurs de service, désormais sous le nom de « SafeTitan, formation en cyber-sécurité ». Les clients de Cyber Risk Aware ne seront pas lésés : ils profiteront des améliorations sur la plateforme en termes de simulation de situations d’hameçonnage ainsi que de le nouvelle feuille de route du produit.

TitanHQ est une compagnie travaillant depuis 20 ans dans le domaine de la cyber-sécurité, récompensée à de multiples reprises. Nous protégeons les utilisateurs de plus de 8 500 entreprises et 2 500 partenaires fournisseurs de services. Notre plateforme sécurisée protège nos clients des logiciels malveillants, des rançongiciels, de l’hameçonnage, des virus, des attaques de réseau et de tout autre forme de cyber-piratage.

Plus important encore, nos produits furent conçus spécifiquement pour les petites et moyennes entreprises. Nous les aidons à gagner du temps et de la productivité en arrêtant les problèmes à la source tout en leur fournissant le produit idéal à vendre dans leur offre technologique.

Comment identifier les mails frauduleux ?

Voulez-vous aider vos employés à identifier les mails frauduleux afin qu’ils cessent de divulguer leurs identifiants avec leurs mots de passe sur des sites d’hameçonnage et de télécharger par inadvertance des logiciels malveillants sur leurs ordinateurs ? Dans cet article, nous vous présenterons quelques signes caractéristiques des mails frauduleux opérant par hameçonnage que tout le monde devrait savoir identifier pour qu’à l’ouverture de chaque mail, vos employés soient capables de déterminer si son contenu est légitime ou s’il est dangereux, s’il vient d’un pirate se faisant passer pour un membre de l’entreprise ou s’il présente une menace de sécurité pour le réseau informatique.

Quelles sont les menaces envoyées par mail ?

C’est par les mails que les cybercriminels font le plus de dégâts dans la cyber-sécurité de l’entreprise : on estime que 91% des cyberattaques commencent avec un mail d’hameçonnage. L’hameçonnage (ou le « phishing », en anglais) est le nom qu’on donne à une tentative d’obtention des données sensibles par le biais d’une imposture : un cyber-pirate se fera ainsi passer pour une compagnie fiable afin d’obtenir les données qui l’intéressent. L’hameçonnage peut s’opérer par téléphone, par SMS, par le biais des réseaux sociaux ou par message instantané, mais le plus souvent, c’est par mail. L’hameçonnage consiste alors à appeler l’utilisateur à télécharger sur son ordinateur des dossiers malicieux contenant un logiciel malveillant ou un rançongiciel. Une réponse à l’hameçonnage suffit pour que le cybercriminel obtienne les codes d’accès aux comptes de messageries et aux services du cloud, lui permettant de télécharger toutes les données sensibles qu’il désire ainsi que la mainmise sur le réseau de l’entreprise, ce qui lui permettra de le compromettre largement.

Si vous avez installé une puissante protection de sécurisation email, la plupart des mails d’hameçonnage et des autres menaces par courriel seront bloquées, mais aucun programme de sécurité email ne vous offrira une protection complète. Il est donc essentiel que chaque utilisateur apprenne à identifier les mails frauduleux et comment réagir en cas de réception d’un tel mail.

Les employés doivent recevoir une formation en sécurité informatique

Dans certaines entreprises, la formation en sécurité informatique est obligatoire : il faut que les employés soient capables d’identifier les mails frauduleux. Aux États-Unis, par exemple, il est rendu obligatoire de suivre une formation en sécurité informatique régulièrement par la Health Insurance Portability Act (ou « HIPAA » : la loi votée par le Congrès des États-Unis en 1996 concernant la santé et l’assurance maladie). Tous les organismes de santé doivent s’assurer que leurs employés ont appris à reconnaître un mail d’hameçonnage.

Il est fortement recommandé aux compagnies qui n’y sont pas contraintes par la loi de penser à la formation en sécurité informatique : on ne peut en effet pas s’attendre à ce que les employés sachent faire la différence entre un mail fiable et un mail frauduleux s’ils ne connaissent pas les signes distinctifs. En instaurant régulièrement une formation en sécurité informatique en entreprise, vous vous assurez que vos employés ne tomberont pas dans le piège des cybercriminels, ce qui vous protégera de la violation des données.

Comment identifier les mails frauduleux ?

Les cybercriminels changent régulièrement de tactique pour contourner les systèmes de sécurité et tromper les utilisateurs afin d’obtenir de leur part des données personnelles ou l’installation d’un logiciel malveillant sur leur système. L’aspect des mails frauduleux et le leurre de l’hameçonnage change régulièrement, mais il y a des points communs dans ces arnaques, que nous vous détaillons ci-après. Notez qu’un mail frauduleux peut utiliser plusieurs de ces techniques dans le même message.

Gardez à l’esprit que ce n’est pas parce qu’il semble avoir été envoyé par une source fiable, une personne de confiance ou une entreprise célèbre avec le logo correspondant que le mail est authentique. Vous devez malgré tout contrôler soigneusement le message avant d’y répondre ou de passer à l’action qu’il vous demande.

Urgence

Les mails frauduleux et l’hameçonnage vous alertent la plupart du temps sur une situation urgente. Les cybercriminels veulent que vous agissiez rapidement, sans réfléchir, car plus vous vous posez de questions, plus vous vous avez de chances de vous rendre compte que le mail vous mène à une arnaque.

Menaces

Les mails frauduleux et l’hameçonnage vous menacent de terribles conséquences si vous ne faites rien : votre compte sera clôturé, vous perdrez l’accès à un service, vous devrez payer des frais, vous serez arrêté par la police… voilà autant de menaces récurrentes vous poussant à agir vite selon les instructions données dans le mail frauduleux.

Récompenses

Les cybercriminels parlent régulièrement d’occasions uniques, de prix défiant toute concurrence ou de récompenses pour encourager leurs cibles à les recontacter ou à visiter leur site internet. Une offre trop belle pour être honnête comme la promesse d’un iPhone neuf pour 100€ ou un prix dans un jeu auquel vous n’avez jamais participé est une ruse courante incitant les utilisateurs à cliquer sur un lien malveillant.

Demande d’informations personnelles

Le moyen le plus facile permettant d’obtenir des informations sensibles est encore de les demander ! Si cela vous arrive, vous devez prendre un moment pour réfléchir et déterminer si la demande de communiquer vos informations personnelles par mail est justifiée. Assurez-vous notamment que l’adresse mail – et pas simplement le nom de l’expéditeur indiqué en tête du mail – est valide, et essayez de lui téléphoner pour qu’il confirme que c’est bien lui qui a besoin de vos informations ou que vous changiez votre moyen de paiement. Attention ! N’utilisez surtout pas le numéro de téléphone inscrit dans l’email !

Lien hypertexte ou hyperlien

Les hyperliens sont souvent utilisés par les cybercriminels pour franchir les défenses de sécurité du système et rediriger les utilisateurs vers des sites frauduleux. L’adresse URL est la plupart du temps dissimulée par un texte alléchant, mais si vous placez le curseur de votre souris sur le lien (sans cliquer), vous pourrez voir apparaître l’adresse vers laquelle vous serez redirigé. Les raccourcis URL permettent de dissimuler la véritable destination de l’adresse URL hameçon. Il est aussi fort probable que vous passiez par plusieurs pages avant d’arriver sur le site internet frauduleux. Assurez-vous que l’adresse internet des sites que vous visitez est authentique ; en cas de doute, ne cliquez pas sur les hyperliens que vous lisez dans les mails suspects.

Pièces jointes

Les pièces jointes portent généralement une double extension pour sembler légitimes (.doc.exe par exemple). La simple ouverture de ces pièces jointes suffit à installer un logiciel malveillant sur l’ordinateur. Les cybercriminels emploient souvent des macros contenant certains codes qui téléchargeront eux aussi des logiciels malveillants. Pensez à scanner avec un antivirus les pièces jointes avant de les ouvrir et n’utilisez pas leur contenu à moins d’être 100% sûr qu’il est fiable. Considérez toujours comme suspects des pièces jointes au format étrange ou inhabituel avec une extension suspecte (comme les .zip, .scr, .js, .exe, .vbs, .bat, .com, .msi, .jse, .lnk, .vb etc.).

Adresses mails étranges ou noms de domaines bizarres

Dans les mails frauduleux, les noms affichés et les adresses mails leur correspondant sont souvent très différents : vérifiez scrupuleusement l’adresse mail utilisée. Les entreprises ne se servent pas de domaines de messagerie publique (la partie écrite après le @) comme Gmail. Assurez-vous que le domaine est bien celui utilisé par la compagnie (par exemple : paypal.com est authentique, mais pay-pal.com ne l’est pas !). Vérifiez aussi que le nom de domaine est orthographié correctement, sans lettre manquante ou supplémentaire. Recherchez une substitution potentielle de caractère comme un « rn » à la place d’un « m », un zéro à la place d’un « o » ou encore un « 1 » à la place d’un « I ».

Orthographe et grammaire incorrectes

Les cyber-pirates sont bons en piratage, mais pas toujours en orthographe ! La plupart ne parlent pas français couramment, alors ils font souvent des fautes d’orthographe ou des erreurs de grammaire. Ces fautes sont parfois délibérées, leur permettant de s’assurer que seules les personnes susceptibles de se faire duper à la prochaine étape vont répondre à leur mail d’hameçonnage.

Requêtes étranges

Les mails frauduleux tentent souvent de pousser leurs cibles de à une action ordinaire, comme aider un collègue ou le patron en achetant une carte cadeau. Mais toutes les requêtes s’inscrivant hors du cadre strict du travail comme celle-ci doivent faire l’objet d’une vérification avec la personne concernée, simplement via un rapide coup de téléphone. Attention à ne pas appeler le numéro figurant dans l’email frauduleux !

Salutations et tons de message inhabituels

La manière dont le message est adressé est révélateur de son authenticité : la plupart des emails d’entreprise s’adressent à leur destinataire par leur nom. Si Netflix vous envoie un mail en vous appelant « cher client », vous pouvez être sûr que ce sera de l’hameçonnage. Les cybercriminels ne connaissent sans doute pas le ton des mails habituellement envoyés quand ils imitent les mails professionnels des grandes entreprises : ils peuvent écrire de manière trop familière, ou à l’inverse, trop formelle.

Bloquez davantage de menaces par mail avec un système de protection de messagerie avancé

La plupart des mails frauduleux ou mails d’hameçonnage sont très élaborés et très difficiles à distinguer des mails authentiques, même par les employés entraînés à faire la différence ; les messages peuvent être envoyés par des comptes de messagerie fiables qui ont été compromis, des fils de discussions qui ont été piratés et comporter des logos d’entreprises usurpés. Entraîner les employés à identifier les mails frauduleux est important, mais vous aurez aussi besoin d’installer une solution de filtrage anti-spam avancée pour vous assurer que la majorité de ces mails indésirables sont bloqués et n’atteignent pas les boîtes de réception.

Si vous voulez renforcer vos défenses contre ces cyber-attaques par email, contactez l’équipe de TitanHQ et demandez-leur des renseignements sur SpamTitan, une puissante solution de protection des emails contre l’hameçonnage, simple à utiliser et garantie zéro menace. De plus, SpamTitan offre l’un des meilleurs rapports qualité-prix sur le marché pour tous les types d’entreprise.

La Cyberattaque de Colonial Pipeline est due à un Mot de Passe compromis

En avril 2021, les cyber-pirates ont accédé au réseau de Colonial Pipeline et y ont déployé un rançongiciel qui a provoqué une coupure dans le système des pipelines délivrant le carburant sur la Côte Est des États-Unis. Cette menace planant sur les provisions de fuel a généré la panique chez les habitants de la région, qui se sont précipités pour en acheter de peur d’en manquer, ce qui a conduit à la pénurie. En conséquence, les prix de l’essence ont atteint un montant record sur les six années précédentes, et les réserves de carburant ont chuté de 4,6 millions de barils.

On a tenu pour responsable de ce piratage le RAAS DarkSide, qui a depuis cessé son activité ; peu avant cela, Colonial Pipeline avait payé une rançon de 4,4 millions de dollars pour la clef de déchiffrement de leurs fichiers dérobés et cryptés par ces cyber-pirates. La décision de payer la rançon fut prise à cause de la menace de manquer d’essence. Colonial Pipeline avait en effet fourni 45% de carburant à la Côte Est, et si payer ces cybercriminels fut un choix difficile, la compagnie s’y résigna devant la menace de manquer d’approvisionnement et surtout l’estimation de tout le temps qu’il lui faudrait pour remettre son système en ordre sans la clef de chiffrement de ses fichiers cryptés.

Une attaque aussi importante d’une compagnie à l’infrastructure essentielle aurait dû être extrêmement difficile à lancer ; toutefois, une enquête menée sur cette cyberattaque a révélé que l’accès au système informatique de Colonial Pipeline n’aurait pas pu être plus simple. Les cyber-pirates ont en effet utilisé un mot de passe compromis pour y accéder à distance, ce compte n’étant pas protégé par une authentification à facteurs multiples.

D’après Charles Carmakal, vice-président de l’entreprise de cyber-sécurité Mandiant chargée de cette enquête, le mot de passe était celui d’un compte en réseau privé virtuel. Ce compte n’était pas en service, mais il restait malgré tout possible de s’y connecter pour accéder au réseau professionnel de Colonial Pipeline.

Personne ne sait comment les cyber-pirates ont obtenu le mot de passe de ce compte ; il a depuis été retrouvé dans une base de données de mots de passe violés qui a fuité sur le Dark Web. Il est possible qu’un individu ait utilisé un mot de passe pour ce compte qui était déjà choisi pour protéger un autre compte où il aurait été violé. Il est très courant que les mots de passe collectés par violation des données soient utilisés de force au cours d’une cyberattaque sur un système ciblé ; ils peuvent aussi être dérobés au cours d’une attaque par hameçonnage email.

L’entreprise Mandiant a cherché des éléments de preuve sur la manière dont les cybercriminels ont obtenu ce mot de passe. Les enquêteurs n’ont trouvé aucun signe d’attaque avant le 29 avril 2021, pas plus que de trace de hameçonnage. Il est possible qu’on ne découvre jamais comment ce mot de passe et le compte associé ont été ciblés.

Ce qui est certain, en revanche, c’est que la cyberattaque aurait facilement pu être évitée si les mesures de sécurités informatiques recommandées avaient été respectées, comme la vérification des comptes utilisateurs et la fermeture de ceux qui n’étaient plus en service, la mise en place de mots de passe uniques et complexes pour chacun de ces comptes, l’implémentation d’une authentification à multi-facteurs pour empêcher l’utilisation des mots de passe corrompus et le choix d’une solution anti-spam efficace pour bloquer les tentatives de hameçonnage par email.

Le Nouveau Logiciel Malveillant MosaicLoader Distribué via les Publicités en Ligne pour les Logiciels Piratés

 

Un nouveau variant de logiciel malveillant (ou « malware ») est apparu : il se propage via des publicités malignes apparaissant en tête de liste des moteurs de recherche lorsque l’on tape les mots-clefs pour « cracker » – ou pirater un logiciel. Ce nouveau malware a été surnommé « MosaicLoader » par les chercheurs en sécurité de Bitdefender, qui ont noté une hausse significative du nombre de logiciels malveillants au cours des dernières semaines.

Comme son nom le laisse supposer, MosaicLoader est un outil de téléchargement de malwares. Il a été développé pour implanter un piratage financier dans les appareils connectés de ses victimes, avec la notion de « Mosaic » de son nom révélant bien sa structure interne très complexe, élaborée pour empêcher les chercheurs en sécurité d’analyser et d’inverser son ingénierie frauduleuse.

Ce logiciel malveillant tient sa complexité de l’utilisation de toute une gamme de méthodes lui permettant d’échapper à la détection et de brouiller la compréhension de qui s’y risquerait grâce à un code de cryptage morcelé, disséminant l’exécution des tâches en une structure ressemblant à une mosaïque. Comme si cela ne suffisait pas, ce malware reprend également les informations fichiers des autres logiciels fiables pour se rendre crédible.

Actuellement, la campagne de diffusion de MosaicLoader cible des internautes à la recherche de logiciels crackés en les attirant avec des publicités frauduleuses sur les moteurs de recherche répondant à plusieurs mots de passe relatifs au piratage informatique ; une fois que l’on clique dessus, on télécharge un élément de MosaicLoader qui s’installe simplement, comme le ferait un logiciel fiable, comprenant en métadonnées le nom et la description d’une entreprise informatique connue avec son icône et ses informations fichiers.

Les éléments de MosaicLoader initialement téléchargés emploient des noms comme mirc-7-64-keygen-plus-crack-fully-version-free-download, officefix-professional6-122-crack-full-version-latest-2021, et setup-starter_v2.3.1. Il y a en a aussi un imitant le processeur NVIDIA, même si sa signature n’est en réalité pas rattachée à NVIDIA. Une fois que les utilisateurs installent ces éléments dans leur système, ils déclenchent une infection de virus en chaîne, qui opérera en tâche de fond sans qu’ils ne s’en rendent compte, aucune fenêtre ne s’ouvrant pour la leur signaler.

C’est parce qu’il peut être utilisé pour voler n’importe quelle somme d’argent dans le système de l’utilisateur que MosaicLoader particulièrement dangereux : il possède en effet une grande variété d’outils, comme les Chevaux de Troie à distance, les virus, les « portes dérobées » (ou « backdoors »), les voleurs de cookies et les mineurs de crypto-monnaie. D’après l’activité de vol pécuniaire observé, il semblerait qu’à l’origine MosaicLoader ait été dirigé par un groupe de cyber-pirates, mais il pourrait également être utilisé comme modèle type de malware-as-a-service opérant par mails frauduleux et spams.

En théorie, se protéger de MosaicLoader est simple : il suffit que les utilisateurs s’abstiennent de télécharger des logiciels crackés. Non seulement c’est illégal, mais ils courent aussi le risque en faisant cela d’installer des malwares comme MosaicLoader, des logiciels espions, des publiciels et de nombreux autres programmes indésirables (ou PUPs). Il est essentiel d’avoir une bonne protection contre les logiciels malveillants et un antivirus installé dans le système informatique, le tout régulièrement mis à jour.

Les employés sont toujours à la recherche d’un moyen de simplifier leur quotidien et il est fréquent qu’ils essaient d’y parvenir en installant un logiciel non autorisé : c’est ce que l’on appelle le Rogue IT (ou Shadow IT). Mais s’il peut fournir un gain de temps à l’employé durant son temps de travail au bureau, le Rogue IT comporte des risques, notamment celui d’installer un logiciel piraté. Ce risque s’est encore accru durant la pandémie de COVID 19, la plupart des employés télé-travaillant depuis chez eux.

Les entreprises peuvent renforcer leur protection contre MosaicLoader et les autres logiciels malveillants en contrôlant soigneusement les sites internet auxquels les employés ont accès sur leurs ordinateurs et téléphones de fonction ainsi que leur matériel personnel. Les filtres de contenu, comme WebTitan, peuvent être configurés pour restreindre l’accès aux sites internet sans rapport avec le travail ou encore bloquer certaines catégories de sites, connues aussi comme étant des URLs malveillantes.

Les filtres internet peuvent aussi être configurés pour bloquer les téléchargements de fichiers spécifiques, comme les installateurs de logiciels et autres fichiers pouvant servir à installer des malwares. Il est également très important d’expliquer fermement à l’équipe que le téléchargement des logiciels non approuvés est strictement interdit, et que l’installation de logiciels crackés est illégale.

Pour plus d’informations sur le filtrage de contenu avec un filtre DNS et les autres mesures de cyber-sécurité que vous pouvez envisager pour vous protéger des logiciels malveillants, contactez TitanHQ dès aujourd’hui. Vous pourrez bénéficier d’un essai gratuit sur le filtre internet WebTitan ; il s’installe en quelques minutes et vous donnera d’excellents résultats en moins d’une heure.

Le logiciel malveillant « OnePercent » livré par hameçonnage email

Suite à une hausse notable depuis 2020, les attaques de logiciels malveillants ont explosé en 2021 pour atteindre un nombre stupéfiant. Il y a en effet eu davantage de campagnes de piratage au cours des six premiers mois de 2021 que dans toute l’année 2020, d’après une étude.

Les opérations de « Ransomware-as-a-service » (abrégé RaaS : c’est un service commercial fournissant à toute personne, prête à y mettre le prix, un service complet d’outils de piratage, permettant même aux débutants de s’y essayer) actives tout au long de 2020 ont augmenté le nombre de leurs attaques, et bien que certains Raas aient été fermés, on ne constate aucune diminution du nombre des cyber-attaques. Il y a même une nouvelle cyber-menace contre laquelle il va falloir se protéger : le FBI a lancé une alerte à propos d’un nouveau groupe de cyber-pirates opérant par logiciel malveillant particulièrement actif aux États-Unis. Le groupe, connu sous le nom de « OnePercent », a utilisé son système pirate pour attaquer les entreprises américaines depuis au moins novembre 2020, d’après une récente alerte éclair du FBI. Ce groupe est connu pour son utilisation frauduleuse de l’outil de tests d’intrusion légal Cobalt Strike dans ses attaques et l’exfiltration des données confidentielles de ses victimes avant d’utiliser son logiciel malveillant OnePercent pour crypter les fichiers ainsi obtenus. Une demande de rançon leur est alors envoyée contre la clef permettant de décrypter leurs fichiers volés et d’empêcher leur publication sur les sites de divulgation de données du groupe sur Tor ainsi que sur les sites internet standards accessibles à tout public.

Comme de nombreux pirates informatiques, ce groupe attaque d’abord ses victimes via le hameçonnage par email : les mails hameçons envoyés aux entreprises ciblées contiennent une pièce jointe malicieuse au format .zip avec un document Word ou Excel corrompu contenant un Cheval de Troie, qui à l’ouverture installe Cobalt Strike sur les points d’accès du réseau informatique (les « endpoints ») permettant au pirate de s’y infiltrer littéralement et de voler tout le contenu qu’il souhaite prendre à sa victime. Le groupe s’est aussi fait connaître pour son utilisation de PowerShell, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit et Rclone pour l’exfiltration des données.

Les pirates sont réputés prendre tout leur temps pour explorer le réseau qu’ils infiltrent, ce qui leur permet d’identifier et de voler des données d’une importance cruciale. Dans les attaques rapportées au FBI, le groupe a passé jusqu’à un mois entre la compromission initiale par fichier jusqu’au déploiement du logiciel espion OnePercent. Durant cette période, un nombre considérable de données a été exfiltré. Le logiciel malveillant crypte ensuite ces fichiers avec une extension de 8 caractères choisis au hasard.

Il n’y a aujourd’hui aucune limite légale à la demande de rançon des pirates informatiques. Les victimes doivent prendre contact avec eux pour obtenir une « assistance technique » leur permettant le recouvrement de leurs fichiers et la découverte du montant qu’il leur faudra débourser pour le décryptage ainsi que la garantie que leurs données ne seront pas conservées de manière frauduleuse. Si la rançon est payée, les pirates affirment qu’ils donneront la clef de décryptage sous 48 heures. Le groupe de malfaiteurs est aussi connu pour contacter ses victimes par téléphone en utilisant une ligne factice afin de faire pression sur elles par la menace de rendre publiques leurs précieuses données volées si elles refusent de payer ; il a aussi menacé de les vendre au groupe cybercriminel Sodinokibi qui les mettra alors sur sa liste de vente aux enchères.

Puisque ce groupe de cybercriminels se sert des emails comme technique d’attaque principale, la meilleure protection consiste à empêcher ces mails d’atteindre les boîtes de réception. Cela suppose une solution de filtrage de courrier avancée comme SpamTitan. Il est également recommandé de configurer ses mails de manière à ce qu’ils émettent une alerte lorsque leur expéditeur est une personne n’appartenant pas à l’entreprise.

Il est aussi très important de suivre les meilleures recommandations pratiques de cyber-sécurité quant à la segmentation du réseau, qui permet de limiter la possibilité de transfert latéral, de vérifier les comptes utilisateurs bénéficiant des privilèges d’administrateurs et de limiter leur domaine de compétence autant que possible, ainsi que de configurer les contrôles d’accès des utilisateurs de comptes invités. Les données d’importance cruciale doivent être sauvegardées hors ligne sur disque dur externe ou autre dispositif de stockage déconnecté du réseau. Les sauvegardes doivent subir des tests de vérification permettant de s’assurer que la récupération des données est possible en cas de besoin.

Même si les pirates du logiciel malveillant OnePercent ne sont pour l’instant connus que pour leur utilisation des emails hameçons comme vecteur d’attaque, il est tout à fait possible qu’ils adoptent d’autres stratégies dans l’avenir. Il est donc fortement recommandé de s’assurer que l’accès à distance et les ports RDP sont déconnectés si l’on ne s’en sert pas et de contrôler les connexions à ces éléments. Mieux vaut aussi mettre les ordinateurs et les logiciels à jour, installer les correctifs au plus tôt et vérifier que les mots de passe sont robustes, de préférence avec une authentification multifactorielle.