Infos

Diffusion massive de CryptXXX via des codes d’exploitation

Dans le monde des ransomwares tout change très vite et le favori d’aujourd’hui peut être oublié demain.

Locky constitue un exemple frappant. Il n’y a pas si longtemps, ce malware était diffusé agressivement sur les ordinateurs des utilisateurs et il avait été capable d’interrompre le travail dans d’importants hôpitaux après avoir empêché l’accès du personnel aux données médicales et celui des patients à l’aide médicale. Locky a enregistré son pic d’activité aux mois de février et mars, mais à la fin du mois d’avril, ce malware était en recul et avait cédé sa place à CryptXXX, un autre ransomware puissant.

A la fin du mois d’avril, des chercheurs de Palo Alto Networks ont publié des informations sur de nouvelles cybercampagnes visant à diffuser CryptXXX via le kit d’exploitation Angler. D’après les experts, ces campagnes ont été lancées par le même groupe qui, il y a deux semaines, avait diffusé Locky via le kit d’exploitation Nuclear.

D’après le témoignage du chercheur Brad Duncan, la campagne CryptXXX, que Palo Alto a baptisé Afraidgate car les passerelles des individus malintentionnés sont situées dans le domaine afraid[.]org, est en réalité la 2e du genre et les individus malintentionnés livrent un pseudo Darkleech. Les intermédiaires dans les deux campagnes sont Angler, qui attaque les vulnérabilités dans les navigateurs, et Bedep, un downloader qui télécharge le ransomwere et un clicker.

D’après Brad Duncan, l’utilisation d’Angler permet une meilleure diffusion de CryptXXX car ce kit d’exploitation s’actualise plus vite que l’ensemble de ses concurrents. Il est intéressant de voir la présence de Bedep dans cette campagne. Il s’agit d’un downloader sans fichier qui ne laisse aucune trace sur le disque dur. « La mise à jour récente de Bedep a compliqué l’analyse de ce malware à l’aide d’une machine virtuelle » écrit Brad Duncan dans le blog de Palo Alto. Bedep change de comportement lorsqu’il détecte une machine virtuelle. Il s’abstient de télécharger CryptXXX et le trafic de fraude au clic, observé après l’infection, se distingue du trafic qui provient d’un hôte physique normal.

Pour rappel, Kaspersky Lab avait diffusé à la fin du mois d’avril un outil de déchiffrement afin de pouvoir récupérer gratuitement les fichiers brouillés par CryptXXX.

La menace du pseudo Darkleech a été analysée en détail dans le blog Sucuri au mois de mars. Ce malware s’infiltre non seulement dans les sites WordPress, mais également sur les serveurs Microsoft IIS. Les attaques organisées avec son aide ont très vite évolué et à la fin de l’année dernière, ces infections impliquaient la participation d’Angler.

Locky, quant à lui, n’a pas complètement disparu. Il se propage toujours via des documents Word avec des macros malveillantes. Les spams envoyés par les individus malintentionnés imitent généralement des avis relatifs à une facture impayée ou à l’envoi d’un colis.

Fonte: Threatpost

Diffusion massive de CryptXXX via des codes d’exploitation

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception