L’évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Contenu

Attaques ciblées et campagnes de programmes malveillants

Ha-Chine ! Ancien Skier, nouveau Skier

Au début de cette année, dans le cadre d’une investigation sur les réponses aux incidents, nous avons découvert une nouvelle version du logiciel malveillant Skimer ATM. Ce logiciel malveillant, qui est apparu pour la première fois en 2009, a été repensé. De même que les tactiques des cybercriminels qui l’utilisent. Le nouveau logiciel malveillant d’infection de distributeurs de billets de banque vise les distributeurs du monde entier, comme aux Émirats Arabes Unis, en France, aux États-Unis, en Russie, à Macao, en Chine, aux Philippines, en Espagne, en Allemagne, en Géorgie, en Pologne, au Brésil et en République tchèque.

Plutôt que d’utiliser la bonne vieille méthode qui consiste à appliquer un faux lecteur de carte sur le distributeur de billets, les criminels prennent le contrôle du distributeur en son entier. Ils commencent par installer le logiciel malveillant Skier sur le distributeur, soit en y accédant physiquement ou en pénétrant dans le réseau interne de la banque. Le logiciel malveillant infecte le cœur du distributeur, c’est-à-dire la partie responsable de l’interaction avec l’infrastructure générale de la banque, le traitement des cartes et la distribution d’argent liquide. Contrairement aux copieurs de carte habituels, il n’existe aucun signe physique que le distributeur est infecté, ce qui permet aux cybercriminels de capturer librement les données des cartes utilisées dans les distributeurs (y compris le numéro de compte bancaire et le code de l’utilisateur) ou de voler de l’argent liquide directement.

Le cybercriminel ‘réveille’ le distributeur de billets infecté en insérant une carte qui contient des enregistrements spécifiques sur la bande magnétique. Après avoir lu la carte, le logiciel malveillant Skier peut exécuter une commande codée de manière irréversible ou recevoir des commandes via un menu spécifique activé par la carte. L’interface utilisateur du logiciel malveillant Skier apparaît à l’écran uniquement après le retrait de la carte et seulement si le cybercriminel saisit la clé de session appropriée dans les 60 secondes. Le menu propose 21 options différentes, comme la distribution d’argent, la collecte d’informations sur les cartes qui ont été insérées dans le distributeur de billets, l’auto-suppression et l’exécution de mises à jour. Le cybercriminel peut enregistrer les informations de la carte sur la puce de sa carte ou imprimer ces informations.

[youtube https://www.youtube.com/watch?v=hOcFy02c7x0&w=560&h=315]

Les criminels prennent soin de ne pas attirer l’attention. Plutôt que de retirer de l’argent directement aux distributeurs de billets (ce qui serait immédiatement perceptible), ils attendent (parfois plusieurs mois) avant d’agir. Dans la plupart des cas, ils collectent des données à partir des cartes copiées afin de créer par la suite des cartes clonées. Ils utilisent les cartes clonées dans d’autres distributeurs de billets non infectés, et retirent de l’argent du compte des victimes de manière à ne pas pouvoir être reliés au distributeur infecté.

Kaspersky Lab émet plusieurs recommandations pour aider les banques à se protéger. Il leur est conseillé d’effectuer régulièrement des analyses anti-virus ; d’utiliser des technologies de listes blanches ; d’appliquer une bonne stratégie de gestion des appareils ; d’utiliser un chiffrement de disque complet ; de protéger le BIOS des distributeurs avec un mot de passe ; de renforcer le démarrage du disque dur et d’isoler le réseau des distributeurs de billets du reste de l’infrastructure de la banque. La bande magnétique de la carte utilisée par les cybercriminels pour activer le logiciel malveillant contient neuf chiffres codés de manière irréversible. Les banques pourraient rechercher ces chiffres de manière proactive au sein de leurs systèmes de traitement ; nous avons donc partagé ces informations ainsi que d’autres Indicateurs de compromission (IoC).

En avril, un de nos experts a fourni un examen approfondi sur la façon de  » décrocher le gros lot  » sur un distributeur de billets et a proposé des pistes sur les mesures à prendre pour sécuriser ces appareils.

Nouvelles attaques, ancienne faille de sécurité

Ces derniers mois, nous avons suivi la trace d’une série d’attaques de cyber-espionnage conduite par différents groupes APT (Advanced Persistent Threat) dans les régions de l’Asie-Pacifique et de l’Extrême-Orient. Elles partagent toutes un trait en commun : elles exploitent la vulnérabilité CVE-2015-2545. Cette faille permet à un pirate d’exécuter un code arbitraire à l’aide d’un fichier image EPS spécialement conçu. Celui-ci utilise du PostScript et peut échapper aux méthodes de protection Randomisation du format d’espace d’adresse (ASLR) et Prévention de l’exécution des données (DEP) intégrées à Windows. Les groupes The Platinum, APT16, EvilPost et SPIVY étaient déjà connus pour exploiter cette faille de sécurité. Plus récemment, celle-ci a également été exploitée par le groupe Danti.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Danti, identifié pour la première fois en février 2016 et toujours actif, se focalise principalement sur les organisations diplomatiques. Le groupe vise en priorité les organismes gouvernementaux indiens, mais des données de Kaspersky Security Network (KSN) indiquent qu’il a également infesté des cibles au Kazakhstan, Kirghizstan, Ouzbékistan, Myanmar, Népal et aux Philippines.

Ce code malveillant est diffusé à l’aide d’e-mails de spear-phishing qui ressemblent à ceux qui auraient pu être envoyés par des membres officiels du gouvernement indien. Lorsque les victimes cliquent sur le fichier DOCX joint, la porte dérobée de Danti est installée et permet aux cybercriminels de capturer des données sensibles.

L’origine du groupe Danti n’est pas très claire, mais nous suspectons qu’il puisse être connecté aux groupes NetTraveler et DragonOK. On pense également que des pirates informatiques de langue chinoise se cachent derrière ces attaques.

Kaspersky Lab a également été témoin d’une autre campagne exploitant la vulnérabilité CVE-2015-2545 : nous l’avons appelé SVCMONDR d’après le Trojan qui est téléchargé lorsque les cybercriminels s’introduisent dans l’ordinateur de la victime. Ce Trojan est différent de celui utilisé par le groupe Danti mais il partage certaines caractéristiques avec Danti et avec APT16, ce dernier étant un groupe de cyber-espionnage que l’on pense être d’origine chinoise.

Un des aspects les plus frappants de ces attaques est qu’elles utilisent une vulnérabilité qui a été corrigée par Microsoft en septembre 2015. En novembre, nous avons prédit que les campagnes APT consacreraient moins d’efforts au développement d’outils sophistiqués et utiliseraient plutôt des logiciels malveillants standard pour atteindre leurs objectifs. Dans le cas qui nous intéresse : utiliser une vulnérabilité connue, plutôt que de développer un code malveillant de type  » zero-day  » qui exploite une faille de sécurité. Cette situation souligne la nécessité pour les entreprises d’accorder plus d’attention à la gestion des correctifs pour sécuriser leur infrastructure informatique.

Nouvelle attaque, nouvelle faille de sécurité

Bien sûr, il existera toujours des groupes APT qui chercheront à exploiter des failles de sécurité de type  » zero-day « . En juin, nous avons signalé une campagne de cyber-espionnage avec pour nom de code ‘Operation Daybreak‘ lancée par un groupe du nom de ScarCruft, qui utilise une faille de sécurité Adobe Flash Player (CVE-2016-1010) auparavant inconnue. Ce groupe est relativement nouveau et est, jusqu’ici, parvenu à ne pas se faire remarquer. Nous pensons que ce groupe pourrait avoir déjà déployé un autre code malveillant exploitant une faille de sécurité (CVE-2016-0147) qui a été corrigée en avril.

Le groupe a ciblé de nombreuses organisations en Russie, au Népal, en Corée du Sud, en Chine, en Inde, au Koweït et en Roumanie. Ces organisations se composent d’un organisme d’application de la loi asiatique, d’une des plus importantes sociétés commerciales au monde, d’une entreprise de publicités mobiles et de monétisation des applications américaine, de personnes privées associées à l’Association internationale des fédérations d’athlétisme et un restaurant qui se trouve dans une des plus grandes galeries commerciales de Dubaï. Les attaques ont commencé en mars 2016 : certaines d’entre elles étant très récentes, nous pensons que le groupe est toujours actif.

La méthode exacte utilisée pour infecter les victimes n’est pas claire mais nous pensons que les cybercriminels utilisent des e-mails de spear-phishing qui dirigent vers un site Web piraté qui héberge le code malveillant. Le site effectue quelques vérifications sur le navigateur avant de rediriger les victimes vers un serveur contrôlé par les pirates en Pologne. Le processus d’exploitation est composé de trois objets Flash. Celui qui déclenche la vulnérabilité dans Adobe Flash Player se trouve dans le deuxième fichier SWF envoyé à la victime. À la fin de la chaîne de piratage, le serveur envoie un fichier PDF légitime du nom de ‘china.pdf’ à la victime : celui-ci semble écrit en coréen.

Les pirates utilisent un certain nombre de méthodes intéressantes pour échapper à la détection, notamment l’exploitation d’un bug dans le composant Dynamic Data Exchange (DDE) de Windows afin de contourner les solutions de sécurité, ce qui est, en soi, une méthode inédite. Cette faille a été signalée à Microsoft.

Les codes malveillants exploitant des failles de sécurité Flash Player sont de plus en plus rares car, dans la plupart des cas, ils doivent être associés à un code malveillant contournant la sandbox, ce qui les rend difficile à réaliser. De plus, bien qu’Adobe ait prévu d’abandonner sous peu la prise en charge de Flash, l’entreprise continue à mettre en place de nouvelles mesures d’atténuation pour rendre l’exploitation de Flash Player de plus en plus difficile. Néanmoins, des groupes pleins de ressources comme ScarCruft, continueront à essayer de trouver des failles de sécurité de type  » zero-day  » pour cibler des victimes à haute visibilité.

Bien que la sécurité totale n’existe pas, la clé est d’accroître les défenses de sécurité de manière à ce qu’elles deviennent si chères à violer que les cybercriminels abandonnent ou choisissent une autre cible. La meilleure défense contre les attaques ciblées est une approche à plusieurs niveaux qui associée des technologies anti-virus traditionnelles à la gestion des correctifs, la prévention d’intrusions hôtes et à une stratégie de listes blanches avec interdiction par défaut. Selon une étude du Australian Signals Directorate, 85 % des attaques ciblées analysées auraient pu être arrêtées en utilisant 4 mesures d’atténuation simples : listes blanches d’applications, mise à jour des applications, mise à jour des systèmes d’exploitation et restriction des privilèges administratifs.

Les produits Kaspersky Lab détectent la faille de sécurité Flash comme ‘HEUR:Exploit.SWF.Agent.gen’. Cette attaque est également bloquée proactivement par notre composant Automatic Exploit Prevention (AEP). Les charges utiles sont détectées en tant que ‘HEUR:Trojan.Win32.ScarCruft.gen’.

XDedic : APT-as-a-Service

Kaspersky Lab a récemment effectué des recherches sur une plateforme d’échanges cybercriminelle active appelée xDedic, un marché noir en ligne d’identifiants de serveurs piratés dans le monde, disponible via le protocole Remote Desktop Protocol (RDP). À l’origine, nous pensions que ce marché touchait 70 000 serveurs mais de nouvelles données suggèrent que le marché XDedic est bien plus étendu – avec des identifiants pour 176 000 serveurs. XDedic inclut un moteur de recherche, qui permet aux acheteurs potentiels de trouver quasiment tout, des réseaux gouvernementaux aux réseaux d’entreprise, pour une somme aussi insignifiante que 8$ par serveur. Ce prix plancher fournit aux ‘clients’ un accès aux données sur ces serveurs et leur utilisation comme serveur pont pour d’autres attaques ciblées.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Les propriétaires du domaine ‘xdedic[.]biz’ prétendent qu’ils n’ont aucune relation avec ceux qui vendent un accès aux serveurs piratés et qu’ils vendent simplement une plateforme d’échanges sécurisés à d’autres personnes. Le forum XDedic a un sous-domaine distinct, ‘partner[.]xdedic[.]biz’, pour les partenaires du site, c’est-à-dire ceux qui vendent des serveurs piratés. Les propriétaires de XDedic ont développé un outil qui collecte automatiquement des informations sur le système, y compris les sites Internet disponibles, les logiciels installés, etc. Ils fournissent également d’autres outils à leurs partenaires, comme un correctif pour les serveurs RDP qui permet de prendre en charge plusieurs connexions pour le même utilisateur et les programmes d’installation proxy.

L’existence de marchés souterrains n’est pas nouvelle. Mais nous constatons un plus haut niveau de spécialisation. Et bien que le modèle adopté par les propriétaires de XDedic ne soit pas quelque chose qui puisse être copié facilement, nous considérons qu’il est probable que d’autres marchés spécialisés soient susceptibles d’apparaître dans le futur.

Les données de KSN nous ont aidés à identifier plusieurs fichiers qui étaient téléchargés depuis le portail des partenaires XDedic : Les produits Kaspersky Lab détectent ces fichiers comme malveillants. Nous avons également mis sur liste noire les URL des serveurs de contrôle utilisées pour rassembler des informations sur les systèmes infectés. Notre rapport détaillé sur XDedic contient des informations supplémentaires sur les hôtes et les IoC basés sur le réseau.

Le Trojan russe Lurk

Parfois, nos chercheurs trouvent un programme malveillant qui accorde une attention particulière aux lieux qu’il infecte. Sur les tableaux de bord de messages fermés utilisés par les cybercriminels russes, par exemple, on peut parfois lire le conseil ‘Ne pas utiliser en Russie’ qui est donné par les cybercriminels expérimentés à la jeune génération : c’est-à-dire n’infectez pas les ordinateurs russes, ne volez pas l’argent des Russes et ne les utilisez pas pour blanchir de l’argent. Il existe deux bonnes raisons à cela. D’abord, la banque en ligne n’est pas aussi courante qu’à l’Ouest. Deuxièmement, les victimes en dehors de la Russie sont peu susceptibles de déposer une plainte auprès de la police russe, si l’on suppose, bien sûr, qu’elles savent que des cybercriminels russes se cachent derrière le programme malveillant qui les a infectées.

Mais il y a des exceptions à chaque règle. Une de ces exceptions est le Trojan bancaire Lurk qui a été utilisé pour voler de l’argent à des victimes en Russie depuis plusieurs années. Les cybercriminels qui se cachent derrière Lurk s’intéressent aux entreprises de télécommunications, médias de masse et agrégateurs d’informations et aux institutions financières. Les premières leur fournissent les moyens de transférer le trafic sur les serveurs des pirates. Les sites d’informations leur fournissent un moyen d’infecter un grand nombre de victimes au sein de leur ‘public cible’, c’est-à-dire le secteur financier. Il se trouve que les cibles du Trojan se composaient de 4 des plus grandes banques russes.

La principale méthode utilisée pour diffuser le Trojan Lurk est le téléchargement de type  » drive-by  » qui utilise le kit d’exploitation Angler : les pirates placent un lien sur des sites Internet piraté qui mène à une page d’accueil contenant le code malveillant exploitant la faille de sécurité. Ces codes malveillants (y compris ceux de type  » zero-day « ) sont généralement mis en œuvre dans Angler avant d’être utilisés dans d’autres kits d’exploitation, ce qui les rend particulièrement dangereux. Les pirates distribuent également un code via des sites Internet légitimes, où les fichiers infectés sont distribués aux visiteurs de la zone .RU alors que les autres reçoivent des fichiers propres. Les pirates utilisent un ordinateur infecté dans un réseau d’entreprise comme serveur pont pour diffuser le code malveillant dans toute l’entreprise. Ils utilisent l’utilitaire légitime PsExec pour distribuer le programme malveillant à d’autres ordinateurs ; puis ils utilisent un mini-dropper pour exécuter le module principal du Trojan sur les autres ordinateurs.

Le Trojan Lurk contient un certain nombre de fonctionnalités intéressantes. Une fonctionnalité particulière dont nous avons parlé peu de temps après son apparition est qu’il s’agit d’un programme malveillant ‘sans fichier’, c’est-à-dire qu’il existe uniquement dans la RAM et n’écrit pas son code sur le disque dur.

Ce Trojan est également particulier parce qu’il cible des victimes spécifiques. les auteurs font tout ce qu’ils peuvent pour infecter le maximum de victimes qui les intéressent en évitant d’attirer l’attention des analystes et des enquêteurs. Les incidents dont nous avons eu connaissance suggèrent que Lurk a atteint son objectif : nous recevons régulièrement des rapports de vols dans les systèmes bancaires en ligne ; et les investigations judiciaires effectuées à la suite des incidents révèlent des traces de Lurk sur les ordinateurs concernés.

Programmes malveillants en action

Les cybercriminels se préparent pour Rio

Les fraudeurs sont toujours à la recherche d’opportunités pour se faire de l’argent sur le dos des grands événements sportifs, et il n’est donc pas surprenant que nous ayons assisté à une augmentation de l’activité cybercriminelle associée aux Jeux olympiques qui se tiendront prochainement au Brésil.

Nous avons constaté une augmentation des spams. Les spammers essaient d’exploiter le désir des gens de regarder les Jeux en direct pour se faire de l’argent en envoyant des messages informant le destinataire qu’il a gagné à une (fausse) loterie (soi-disant organisée par le Comité olympique international et le gouvernement brésilien) : tout ce qu’il a à faire pour obtenir son ticket est de répondre à l’e-mail et de fournir des informations personnelles.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Certains messages dirigent vers de faux sites Internet, comme celui qui propose une vente directe de tickets en ligne sans avoir besoin de s’inscrire à la loterie officielle :

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Ces faux sites de tickets sont très convaincants. Certains fraudeurs vont encore plus loin en obtenant des certificats SSL légitimes qui leur permettent de fournir une connexion sécurisée entre le navigateur des victimes et le site et d’afficher ‘https’ dans la barre d’adresse du navigateur pour attirer les victimes et leur donner un faux sentiment de sécurité. Les scammers informent leurs victimes qu’elles recevront leurs tickets deux ou trois semaines avant l’événement, ce qui fait que ces dernières ne commencent à se méfier que lorsqu’il est trop tard et que les informations de leur carte ont été utilisées par les cybercriminels. Kaspersky Lab détecte et bloque constamment de nouveaux domaines malveillants, nombre d’entre eux avec ‘rio’ ou ‘rio 2016’ dans leur titre.

ll est trop tard pour acheter des billets via les canaux officiels, par conséquent, la meilleure façon de voir les Jeux est de les regarder à la télé ou en ligne. Nous conseillons à tout le monde de se méfier des sites Internet de streaming malveillants – qui sont probablement l’ultime tentative des cybercriminels pour voler leur argent aux gens.

Les cybercriminels profitent également de notre désir de rester connectés où que nous allions, pour partager nos photos, faire des mises à jour de nos comptes de réseaux sociaux, rechercher les dernières infos ou localiser les meilleurs endroits pour manger, acheter ou dormir. Malheureusement, les frais d’itinérance mobile peuvent être très élevés et c’est la raison pour laquelle les gens cherchent souvent les points d’accès Wi-Fi les plus proches. Ceci est dangereux parce que les données envoyées et reçues sur un réseau Wi-Fi ouvert peuvent être interceptées. Par conséquent, les mots de passe, les codes PIN et autres données sensibles peuvent être facilement volés. En plus de tout cela, les cybercriminels installent également des faux points d’accès, configurés pour diriger tout le trafic via un hôte qui peut être utilisé pour le contrôler, et qui fonctionne même comme un appareil ‘intermédiaire’ capable d’intercepter et de lire le trafic crypté.

Pour juger l’étendu de ce problème, nous nous sommes rendus dans trois lieux majeurs de Rio 2016 et avons passivement surveillé les réseaux Wi-Fi disponibles que les visiteurs seront le plus susceptibles d’utiliser pendant leur séjour : le bâtiment du Comité olympique brésilien, le parc olympique et les stades Maracan, Maracanazinho et Engenhao. Nous avons pu repérer 4 500 points d’accès uniques. La plupart sont adaptés au streaming multimédia. Mais environ un quart d’entre eux sont configurés avec des protocoles de chiffrement à faible sécurité. Cela signifie que les pirates peuvent les utiliser pour absorber les données de visiteurs innocents qui s’y connectent.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Pour réduire ce risque, nous recommandons à tous les voyageurs (pas seulement ceux qui prévoient de se rendre à Rio !) d’utiliser une connexion VPN afin que les données de votre appareil voyagent sur Internet via un canal de données chiffré. Mais soyez prudent. Certains VPN sont vulnérables aux attaques de fuite DNS, ce qui signifie que bien que vos données sensibles immédiates soient envoyées via le VPN, vos demandes DNS sont envoyées en texte brut aux serveurs DNS définis par le matériel de point d’accès. Cela peut permettre à un pirate de voir les sites sur lesquels vous naviguez et s’il a accès au réseau Wi-Fi piraté, de définir des serveurs Wi-Fi malveillants, c’est-à-dire de les faire vous rediriger d’un site légitime (votre banque par exemple) vers un site malveillant. Si votre fournisseur VPN ne prend pas en charge ses propres serveurs DNS, envisagez d’utiliser un autre fournisseur ou un service DNSCrypt.

Il y a encore une chose dont nous avons besoin si nous souhaitons rester connectés, c’est l’électricité, afin de charger nos appareils mobiles. Aujourd’hui, vous pouvez trouver des points de charge dans les galeries marchandes, les aéroports et même les taxis. Généralement, ceux-ci fournissent des connecteurs pour les principaux modèles de téléphone, ainsi qu’un connecteur USB qu’un visiteur peut utiliser avec son propre câble. Certains fournissent également une alimentation traditionnelle qui peut être utilisée avec un chargeur téléphonique.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Mais n’oubliez pas que vous ne savez pas ce qui est connecté à l’autre bout du connecteur USB. Si un pirate corrompt le point de charge, il peut exécuter des commandes qui lui permettront d’obtenir des informations sur votre appareil, notamment le modèle, le numéro IMEI, le numéro de téléphone, etc., soit des informations qu’il pourrait utiliser pour exécuter une attaque spécifique à votre appareil qui lui permettrait d’infecter ce périphérique. Vous trouverez des informations supplémentaires sur les données qui sont transmises lorsque vous connectez un appareil via un câble USB et comment un pirate peut les utiliser pour compromettre un appareil mobile.

Cela ne signifie pas que vous ne devriez pas charger votre appareil quand vous n’êtes pas chez vous. Mais vous devez prendre des mesures pour vous protéger. Il est toujours préférable d’utiliser son propre chargeur plutôt que d’utiliser des câbles de chargement dans un point de chargement public ou d’acheter un câble auprès d’une source inconnue. Utilisez toujours une prise de courant plutôt qu’une prise USB.

Les cybercriminels continuent également d’exploiter des techniques bien établies pour se faire de l’argent. Celles-ci comprennent l’utilisation de faux distributeurs de billets (skimmers) pour voler les données de cartes bancaires. Les skimmers de base utilisent un lecteur de cartes et une caméra pour enregistrer le code des victimes. La meilleure façon de se protéger est de couvrir le clavier quand vous saisissez votre code. Cependant, les cybercriminels remplacent parfois tout le distributeur, y compris le clavier et l’écran, auquel cas le mot de passe saisi est stocké sur le système du faux distributeur. Par conséquent, il est également important de vérifier le distributeur de billets avant d’insérer votre carte. Regardez pour voir si le voyant vert du lecteur de carte est allumé : généralement, les pirates remplacent le lecteur de carte par une version sans voyant lumineux ou avec un voyant éteint. Vérifiez également que le distributeur n’a rien de bizarre, comme une partie manquante ou cassée.

Le clonage de cartes est un autre problème auquel feront face les visiteurs de Rio 2016. Bien que les puces associées aux codes rendent plus difficile la vie des cybercriminels, il leur est quand même possible d’exploiter des failles dans l’implémentation des transactions EMV. Il est difficile de se protéger contre ce type d’attaque car généralement le point de vente est modifié afin d’enregistrer les données qui seront ensuite récupérées par les cybercriminels. Parfois, ils n’ont pas besoin d’accéder physiquement aux appareils pour extraire les données volées car ils peuvent les récupérer via Bluetooth. Cependant, il existe des mesures à prendre pour réduire le risque d’exposition à ce genre d’attaque. Inscrivez-vous aux notifications par SMS de transactions de carte de votre banque, si elle fournit ce service. Ne donnez jamais votre carte au revendeur : s’il ne peut pas amener la machine jusqu’à vous, allez jusqu’à la machine. Si l’appareil vous semble étrange, utilisez un autre moyen de paiement. Avant d’entrer votre code, vérifiez que vous êtes bien sur l’écran de paiement par carte et que votre code n’apparaît pas à l’écran.

Ransomware : sauvegarder ou payer ?

Vers la fin de l’année dernière, nous avions prédit que les ransomwares gagneraient du terrain sur les Trojans bancaires : pour les pirates, les ransomwares sont facilement transformables en argent et impliquent un faible coût par victime. Par conséquent, il n’est pas surprenant que les attaques de ransomware soient en augmentation. Les produits Kaspersky Lab ont bloqué 2 315 931 attaques de ransomware entre avril 2015 et avril 2016, soit une augmentation de 17,7 % par rapport à l’année précédente. Le nombre de logiciels de cryptage (différents des bloqueurs) a augmenté de 131 111 en 2014 à 718 536 en 2015-2016. L’année dernière, 31,6 % de toutes les attaques de ransomware étaient des logiciels de cryptage. Vous trouverez des informations supplémentaires, notamment une présentation du développement des ransomwares, dans notre Ransomwares pour PC en 2014-2016.

La plupart des attaques de ransomware ciblent des consommateurs : 6,8 % des attaques en 2014-2015 et 13,13 % en 2015-2016 visaient le secteur des entreprises.

Cependant, les chiffres sont différents pour les logiciels de cryptage : au cours des 24 mois couverts par notre rapport, environ 20 % des attaques de logiciels de cryptage visaient le secteur des entreprises.

Il est rare qu’un mois s’écoule sans rapport d’attaques de ransomware dans les médias (y compris les récents rapports d’un hôpital et d’un casino en ligne qui ont été victimes d’attaques de ransomware). Cependant, bien que la sensibilisation du public à ce problème s’améliore, il est certain que les consommateurs et les organisations ne font pas le nécessaire pour combattre la menace ; et les cybercriminels utilisent cette défaillance, ce qui se reflète clairement dans le nombre d’attaques existantes.

Il est important de réduire votre exposition aux ransomwares (et nous avons présenté les mesures importantes que vous pouvez prendre ici et ici). Cependant, la sécurité totale n’existe pas, par conséquent, il est également important de réduire le risque. En particulier, il est essentiel de vérifier que vous disposez d’une sauvegarde, pour éviter de vous retrouver dans une situation où les seuls choix possibles sont de payer les cybercriminels ou de perdre vos données. Nous ne conseillons jamais de payer la rançon. Non seulement, cela valide le modèle d’action des cybercriminels, mais rien ne garantit qu’ils décrypteront vos données lorsque vous les aurez payés, comme une organisation l’a découvert récemment à ses dépens. Si vous vous retrouvez dans une situation où vos fichiers sont cryptés et que vous n’avez pas de sauvegarde, demandez à votre vendeur d’anti-virus s’il peut vous aider. Kaspersky Lab, par exemple, peut vous aider à récupérer des données cryptées par certains ransomwares.

Violation de données

Les informations personnelles sont un bien de valeur, par conséquent, il n’est pas surprenant que les cybercriminels visent les fournisseurs en ligne, à la recherche de façons de voler les données en masse en une seule attaque. Nous nous sommes habitués au flux constant de violations de sécurité signalées dans les médias. Ce trimestre n’a pas fait exception à la règle, avec des attaques signalées sur beautifulpeople.com, le forum de hackers nulled.io (qui soulignait le fait qu’il n’y a pas que les systèmes légitimes qui sont visés) kiddicare, Tumblr et d’autres.

Certaines de ces attaques ont permis le vol d’énormes quantités de données et ont clairement démontré que de nombreuses entreprises échouent à prendre les mesures nécessaires pour se défendre. Il ne s’agit pas uniquement d’un problème de défense du périmètre de l’entreprise. Il n’existe pas de sécurité totale et il n’est pas possible de garantir l’inviolabilité des systèmes. Mais toute organisation qui détient des données personnelles a le devoir de les sécuriser de manière efficace. Cela inclut le hachage et le salage des mots de passe des clients et le chiffrement des autres données sensibles.

Les consommateurs peuvent limiter les dégâts d’une violation de sécurité chez un fournisseur en ligne en s’assurant qu’ils choisissent des mots de passe qui sont uniques et complexes : un mot de passe fait au moins 15 caractères de long et est composé d’une association de lettres, chiffres et symboles du clavier entier. Les utilisateurs peuvent également utiliser une application de gestion des mots de passe pour gérer tout cela pour eux automatiquement. Malheureusement, trop souvent, les gens utilisent des mots de passe faciles à deviner et réutilisent le même mot de passe pour plusieurs comptes en ligne. Par conséquent, si le mot de passe est piraté, tous les comptes en ligne de la victime sont vulnérables. Ce problème a été exposé publiquement en mai 2016 quand un pirate connu sous le nom de ‘Peace’ a essayé de vendre 117 millions d’adresses e-mail et de mots de passe LinkedIn qui avaient été volés quelques années auparavant. Plus de 1 million de ces mots de passe volés étaient ‘123456’ !

De nombreux fournisseurs en ligne proposent une authentification à deux facteurs, c’est-à-dire qui nécessite que les clients saisissent un code généré par un jeton matériel, ou un code envoyé sur un appareil mobile, afin d’accéder à un site, ou au moins pour modifier les paramètres du compte. L’authentification à deux facteurs améliore certainement la sécurité, si les gens choisissent d’en profiter.

Plusieurs entreprises espèrent remplacer tous les mots de passe. Apple propose l’autorisation par empreinte numérique pour les achats et paiements iTune avec Apple Pay. Samsung a déclaré qu’il présentera la reconnaissance des empreintes digitales, vocales et de l’iris pour Samsung Pay. Amazon a annoncé le ‘selfie-pay’ (paiement par selfie). MasterCard et HSBC ont annoncé l’introduction de la reconnaissance faciale et vocale pour autoriser les transactions. Bien sûr, le bénéfice principal est que ces techniques remplacent quelque chose que les clients ont à retenir (un mot de passe) par quelque chose qu’ils ont, sans aucune possibilité de court-circuiter le processus (comme ils le font quand ils choisissent un mot de passe à faible sécurité).

La biométrie est considérée par de nombreuses personnes comme l’avenir de la reconnaissance. Cependant, ce n’est pas la panacée de la sécurité. La biométrie peut être usurpée comme nous en avons déjà discuté (ici, ici et ici) ; et les données biométriques peuvent être volées. Au final, l’authentification à plusieurs facteurs est essentielle, par exemple en associant quelque chose que vous savez, à quelque chose que vous avez et à quelque chose que vous êtes.

Menaces mobiles

Afficher des publicités reste une des méthodes principales de monétisation pour les objets mobiles détectés. Trojan.AndroidOS.Iop.c est devenu le Trojan le plus populaire au T2 2016, en représentant plus de 10 % de tous les programmes malveillants mobiles détectés rencontrés par nos utilisateurs pendant la période concernée. Il affiche des publicités et installe, généralement en secret, différents programmes à l’aide de privilèges de super-utilisateur. Ce genre d’activité infecte rapidement l’appareil et le rend virtuellement inutilisable en raison de la quantité de publicités et de nouvelles applications qu’il contient désormais. Parce que ce Trojan peut obtenir des privilèges de super-utilisateur, il est très difficile de supprimer les programmes qu’il installe.

Dans notre rapport IT threat evolution in Q1 2016, nous avons écrit sur la famille Trojan-Banker.AndroidOS.Asacub de programmes malveillants bancaires. Les représentants de cette famille utilisent des techniques inhabituelles pour contourner les mécanismes de sécurité utilisés par les systèmes d’exploitation : ils remplacent la fenêtre système standard qui demande des privilèges d’administrateur de l’appareil par leur propre fenêtre contenant des boutons. Le Trojan dissimule ainsi le fait qu’il est en train d’obtenir des privilèges élevés dans le système et piège l’utilisateur pour qu’il approuve ces privilèges. Au T2 2016, Asacub a présenté une autre méthode permettant de tromper les utilisateurs : le Trojan a acquis la fonctionnalité de messagerie SMS et a commencé à proposer ses services à la place de l’application SMS standard de l’appareil.

L'évolution des menaces informatiques au 2ème trimestre 2016. Survol de la situation

Fenêtre de dialogue de Trojan-Banker.AndroidOS.Asacub.i demandant les droits permettant de devenir l’application de SMS principale

Cela permet au Trojan de contourner les contraintes du système mises en place dans Android 4.4 ainsi que de supprimer ou de masquer les SMS entrants pour l’utilisateur.

En octobre 2015, nous avons écrit sur les représentants de la famille Trojan-PSW.AndroidOS.MyVk qui volent les mots de passe des comptes utilisateur sur le réseau social VK.com. Ce trimestre, les personnes responsables de la distribution des Trojans de cette famille ont présenté une nouvelle approche pour contourner les mécanismes de sécurité de Google Play qui impliquaient d’abord la publication d’une application contenant des fonctionnalités utiles sans code malveillant. Puis, au moins une fois, ils la mettaient à jour avec une nouvelle version de l’application, toujours sans code malveillant. C’est plus d’un mois après la publication initiale que les pirates ajoutaient finalement un code malveillant à une mise à jour. C’est ainsi que des milliers d’utilisateurs ont téléchargé Trojan-PSW.AndroidOS.MyVk.i.

Statistiques

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *