Kaspersky Security Bulletin 2014. Evolution des malwares

Les menaces informatiques qui auront marqué l’année 2014

  1. Prévisions 2015
  2. Principales statistiques pour 2014
  3. Evolution des malwares
  4. Prévisions pour les APT

Souvent, la fin d’une année est une période propice à la réflexion. On prend le temps de faire le point et de penser à l’avenir. Nous souhaitons vous présenter notre traditionnelle rétrospective des grands événements qui ont influencé le milieu des menaces informatiques en 2014.

1. Attaques ciblées et campagnes de malwares

Les attaques ciblées sont bien implantées parmi les menaces et il n’est dès lors pas étonnant de les retrouver dans notre rétrospective.

La campagne de cyberespionnage complexe baptisée ‘Careto’ ou ‘Le Masque’ (Careto est un mot d’argot espagnol qui signifie "visage laid" ou "masque") a été mise sur pied pour voler des données sensibles appartenant à des organisations spécifiques. Parmi les victimes, citons des agences gouvernementales, des ambassades, des sociétés du secteur énergétique, des instituts de recherche, des sociétés privées et des activistes répartis dans 31 pays. Careto contenait un Trojan backdoor sophistiqué capable d’intercepter les communications quel que soit le canal utilisé et de récolter des données de tout type sur les ordinateurs infectés telles que les clés de chiffrement, les configurations de VPN, les clés SSH, les fichiers RDP et certains types de fichier inconnus qui pourraient être associés à des outils de chiffrement utilisés par l’armée/le gouvernement. Ce code se caractérisait par une modularité extrême qui permettait aux attaquants d’ajouter de nouvelles fonctions à volonté. Il existe des versions de cette backdoor pour Windows et pour Mac OS X et nous avons également trouvé des éléments dans certains modules qui indiquent qu’il existerait également des versions pour Linux, iOS et Android. Comme c’est souvent le cas lors de campagnes caractérisées par un tel niveau de sophistication, il est difficile d’identifier l’auteur. La présence de texte en espagnol dans le code n’est pas d’une très grande aide car l’espagnol est parlé dans de nombreux pays. Il se peut également qu’il s’agisse d’une ruse employée pour brouiller les pistes. Ceci étant dit, le niveau très élevé de professionnalisme qui caractérise le groupe à l’origine de l’attaque est inhabituel pour un groupe traditionnel de cybercriminels. Il est probable que la campagne Careto soit organisée avec l’appui d’un état. À l’instar d’autres campagnes d’attaques ciblées, les origines de Careto sont bien antérieures aux premières détections de la menace : nous estimons que les attaquants sont actifs depuis 2007.

Au début du mois de mars, la communauté des chercheurs en sécurité informatique a été animée par des discussions sur une campagne de cyberespionnage baptisée "Epic Turla". Des chercheurs chez G-DATA avaient conclu que ce malware pouvait être une création des services secrets russes ; de leur côté, des chercheurs de BAE Systems l’ont associé à un malware identifié sous le nom "Agent.btz" qui remonte à 2007 et qui fut utilisé en 2008 pour infecter le réseau local des opérations militaires américaines au Moyen-Orient. Notre analyse initiale d’Epic Turla s’était concentrée sur le fait que le malware utilisait des clés USB pour stocker les données qui ne peuvent être envoyées directement via Internet au serveur de commande des attaquants. Le ver ajoute le fichier "thumb.dll" à toutes les clés USB connectées à un ordinateur infecté. Quand cette clé est branchée sur un autre ordinateur, le fichier "thumb.dll" est copié sur le nouvel ordinateur. Epic Turla n’est pas le seul malware qui utilise "thumb.dll". Ce fichier figure également parmi les fichiers du "module de vol USB" de Red October. Et si l’on remonte encore un peu plus dans le temps, on peut voir que Gauss et miniFlame étaient également conscients de l’existence de "thumb.dll" et qu’ils recherchaient ce fichier sur les clés USB. Vous trouverez ici un tableau comparatif. Nous pensons qu’il est probable que des fichiers nommés "thumb.dll" créés par ce malware se trouvent sur des dizaines de milliers de clés USB à travers le monde.

Dans notre analyse suivante d’Epic Turla, nous avions expliqué les méthodes d’ingénierie sociale employées par les attaquants pour propager le malware et nous avions mis en évidence la structure globale de la campagne. Les attaquants envoient des messages de spear-phishing à leurs victimes pour les amener à installer la backdoor sur leur ordinateur. Certains de ces messages contenaient des codes d’exploitation de type 0day, dont un touchant Adobe Acrobat Reader et un autre exploitant une vulnérabilité d’augmentation de privilèges sous Windows XP et Windows Server 2003. Ils organisent également des attaques de type watering-hole avec des codes d’exploitation pour Java, Adobe Flash ou Internet Explorer ou parviennent à convaincre les victimes d’exécuter de faux programmes d’installation malveillants de "Flash Player". En fonction de l’adresse IP de la victime, les attaquants utilisent des codes d’exploitation pour Java ou pour le navigateur, un faux logiciel Adobe Flash Player signé ou une fausse version de Microsoft Security Essentials. Comme il faut s’y attendre, le choix de sites Internet reflète les intérêts particuliers des attaquants (ainsi que les intérêts des victimes). Notre analyse a toutefois démontré que la backdoor Epic Turla ne constitue que la première étape de l’infection. Elle sert en effet à déployer une backdoor plus complexe connue sous le nom de "Cobra/Carbon system" (certaines solutions de lutte contre les malwares l’ont baptisée "Pfinet"). Les connaissances uniques requises pour utiliser ces deux backdoors témoignent d’un rapport clair et direct entre les deux : la première est utilisée pour mettre un pied dans un système et valider une victime à profil élevé. S’il s’avère que la victime est intéressante pour les attaquants, le Carbon System complet est alors installé sur l’ordinateur infecté. Vous pourrez lire ici la présentation générale de la campagne Epic Turla :

Nous avons présenté en juin les résultats de notre enquête sur une attaque menée contre les clients d’une grande banque européenne au cours de laquelle les voleurs s’étaient emparés d’un demi-million d’euros en une semaine seulement. Nous l’avions baptisée "Luuuk" en référence à un chemin d’accès dans le volet d’administration utilisé dans le serveur. Bien que nous n’ayons pas été en mesure de mettre la main sur un exemplaire du malware qui avait infecté les victimes, nous pensons que les criminels ont utilisé un Trojan bancaire qui réalisait des opérations de type "Man-in-the-Browser" afin de voler les informations d’identification des victimes à l’aide d’injections Web malveillantes. Sur la base des informations contenues dans certains des journaux, nous pouvons affirmer que le malware volait en temps réel les noms d’utilisateur, les mots de passe et les codes d’accès à usage unique. Les attaquants utilisaient les informations d’identification des victimes volées afin de vérifier leur solde et de réaliser des transactions malveillantes automatiquement, probablement en arrière-plan d’une session d’utilisation légitime. L’argent volé était ensuite transféré automatiquement vers des comptes de mules prédéfinis. Le classement des mules prédéfinies utilisées par les attaquants était très intéressant. Il existait quatre groupes de mules, défini chacun par le montant des sommes que les mules pouvaient recevoir, probablement en fonction du niveau de confiance. Nous avons identifié 190 victimes au total, la majorité d’entre elles vivant en Italie ou en Turquie. Les montants volés aux victimes étaient compris entre 1 700 et 39 000 euros, pour un montant global de 500 000 euros.

S’il est vrai que les attaquants ont supprimé tous les modules sensibles peu de temps après le début de notre enquête, nous estimons qu’il s’agit plus d’une modification de l’infrastructure que d’un arrêt complet de l’opération. Les cybercriminels à l’origine de cette campagne sont des professionnels très actifs. Ils ont fait preuve d’une certaine proactivité dans la sécurité des opérations comme en témoignent les changements de tactique ou l’élimination des traces après une détection. L’enquête sur cette campagne, que nous avons signalée à la banque concernée et aux autorités compétentes, est en cours.

Une campagne d’attaques ciblées baptisée "MiniDuke" remontant au début de l’année 2013 a été réactivée à la fin du mois de juin 2014. La campagne originale s’était distinguée pour plusieurs raisons. Elle utilisait une backdoor personnalisée écrite dans l’ancien langage de programmation Assembler. L’attaque était gérée à l’aide d’une infrastructure de commande inhabituelle : elle utilisait plusieurs chemins redondants, y compris des comptes Twitter. Les développeurs transféraient les versions mises à jour des fichiers exécutables en les dissimulant dans des fichiers GIF.

Parmi les cibles de la nouvelle campagne baptisée "TinyBaron" ou "CosmicDuke", nous retrouvons des gouvernements, des diplomates, des sociétés actives dans les secteurs de l’énergie, de la défense ou des télécommunications. Ce qui surprend, c’est de voir également dans la liste des victimes des personnes actives dans le trafic et la vente de substances illégales comme des stéroïdes et des hormones. Nous ne disposons pas encore d’une explication claire : il se peut que cette backdoor personnalisable soit proposée en tant que "logiciel espion légitime" ou qu’elle ait été proposée sur le marché noir et achetée par différents rivaux dans le secteur pharmaceutique pour s’espionner.

Le malware imite des applications répandues qui sont conçues pour être exécutées en arrière-plan. Les informations relatives au fichier, les icônes et même la taille du fichier sont imitées. La backdoor en elle-même est compilée à l’aide de ‘BotGenStudio’, un cadre personnalisable qui permet aux attaquants d’activer et de désactiver les composants lorsque le bot est construit. Le malware non seulement vole des fichiers portant une extension en particulier, mais il récolte également des mots de passe, l’historique, les informations réseau, le carnet d’adresses, les informations affichées à l’écran (capture d’écran toutes les 5 minutes) et autres données sensibles. Chaque victime reçoit un ID unique, ce qui permet d’envoyer des mises à jour particulières à une victime définie.

Le malware est protégé par un loader obfusqué qui consomme beaucoup de ressources de l’unité centrale pendant trois à cinq minutes avant de transférer l’exécution à la charge utile. Cela complique l’analyse. Et cela épuise également les ressources requises par le logiciel de sécurité pour émuler l’exécution du malware. En plus de son propre obfuscateur, le malware utilise beaucoup le chiffrement et la compression sur la base des algorithmes RC4 et LZRW. Leur mise en œuvre varie légèrement par rapport aux versions standard. Nous pensons que ceci est le résultat d’une action délibérée visant à tromper les chercheurs. La configuration interne du malware est chiffrée, comprimée et sérialisée sous la forme d’une structure complexe semblable à un registre qui contient différents types d’enregistrement dont des chaînes, des entiers et des références internes. Les données volées sont chargées sur le serveur de commande. Elles sont scindées en petits fragments d’environ 3 Ko chacun qui sont comprimés, chiffrés et placés dans le conteneur qui va être chargé sur le serveur. Si le fichier est volumineux, il peut être réparti en plusieurs centaines de conteneurs différents qui sont tous chargés indépendamment les uns des autres. Il est plus que probable que ces fragments sont analysés, déchiffrés, décompactés, extraits et réassemblés chez l’attaquant. S’il est vrai que la méthode peut être considérée comme lourde, ces couches de traitement supplémentaire garantissent que très peu de chercheurs auront accès aux données originales. Cette méthode offre également une meilleure résistance face aux erreurs réseau.

Nous avions publié en juillet une analyse détaillée d’une campagne d’attaques ciblées que nous avions baptisée "Crouching Yeti". Cette campagne est également connue sous le nom de "Energetic Bear" car des chercheurs de chez Crowdstrike avaient laissé entendre que les attaquants étaient établis en Russie : de notre côté, nous estimons qu’aucun élément ne permet de confirmer ou non cette hypothèse. Cette campagne, active depuis la fin de l’année 2010, a touché jusqu’à présent les secteurs suivants : industriel/outillage, fabrication, pharmaceutique, construction, enseignement et technologies de l’information. Cette campagne a fait plus de 2 800 victimes à travers le monde jusqu’à présent et nous avons été en mesure d’identifier 101 organisations différentes, établies principalement aux Etats-Unis, en Espagne, au Japon, en Allemagne, en France, en Italie, en Turquie, en Irlande, en Pologne et en Chine.

Les attaquants à l’origine de Crouching Yeti utilisent différents types de malwares (tous conçus pour infecter des systèmes Windows) pour infiltrer l’ordinateur des victimes, se propager dans les organisations ciblées et voler des données confidentielles telles que la propriété intellectuelle et d’autres informations stratégiques. Le malware utilisé contient des modules spéciaux conçus pour recueillir les données dans des environnements informatiques industriels spécifiques. Les ordinateurs infectés se connectent à un vaste réseau de sites Internet compromis qui hébergent des modules de malware, stockent les informations sur les victimes et envoient les commandes aux systèmes infectés. Les attaquants infectent les ordinateurs des victimes à l’aide de trois méthodes. Il s’agit d’un programme d’installation d’une application légitime modifié afin d’inclure une fichier DLL malveillant, de messages de harponnage et d’attaques organisées selon la technique du "trou d’eau".

La technologie est au cœur de notre vie de tous les jours et il n’est dès lors pas étonnant d’observer une dimension cybernétique dans les conflits à travers le monde. Ceci est particulièrement vrai pour le Moyen-Orient où les conflits géo-politiques se sont intensifiés au cours des dernières années. Nous évoquions en août une augmentation de l’activité malveillante en Syrie depuis le début de l’année 2013. Les victimes de ces attaques ne se trouvent pas exclusivement en Syrie : le malware a également été repéré en Turquie, en Arabie Saoudite, au Liban, en Palestine, aux Emirats arabes unis, en Israël, au Maroc, en France et aux Etats-Unis. Nous avons été en mesure d’associer les serveurs de commande des attaquants à des adresses IP en Syrie, en Russie, au Liban, aux Etats-Unis et au Brésil. Au total, nous avons trouvé 110 fichiers, 20 domaines et 47 adresses IP associés à ces attaques.

Il ne fait aucun doute que les groupes impliqués dans ces attaques sont bien organisés. Jusqu’à présent, ces attaquants ont préféré utilisé des utilitaires malveillants existant au lieu de développer leur propre matériel (bien qu’ils utilisent diverses méthodes d’obfuscation pour déjouer la simple méthode de détection sur la base de signatures). Nous estimons toutefois que le volume et la sophistication des malwares utilisés dans la région vont probablement augmenté.

Nous avons publié en novembre notre analyse de la campagne APT "Darkhotel", active depuis près de dix ans et qui vise des milliers de victimes à travers le monde. 90 % des infections que nous avons recensées sont réparties entre le Japon, Taïwan, la Chine, la Russie et Hong Kong, mais il y a eu également des cas d’infection en Allemagne, aux Etats-Unis, en Indonésie, en Inde et en Irlande.

La campagne repose sur un ciblage à plusieurs niveaux. Tout d’abord, les attaquants utilisent des messages de spear-phishing et des codes d’exploitation de type 0day afin d’infiltrer des organisations actives dans différents secteurs, dont la défense, le gouvernement et des organisations non-gouvernementales. Ensuite, ils propagent le malware via des sites de partage de fichiers P2P japonais. Troisièmement, ils ciblent des dirigeants d’entreprise en voyage d’affaires qui logent dans des hôtels dans différents pays : ils utilisent pour ce faire un processus d’infection en deux étapes. Tout d’abord, ils identifient les victimes, puis téléchargent d’autres malwares sur les ordinateurs de cibles plus importantes dans le but de voler des données confidentielles sur l’ordinateur infecté.

2. Vulnérabilités à domicile et ailleurs

L’exploitation de vulnérabilités qui n’ont pas été corrigées demeure un des principaux mécanismes utilisés par les cybercriminels qui souhaitent installer du code malveillant sur les ordinateurs des victimes. Cette méthode repose sur l’existence de vulnérabilités dans des logiciels comptant de nombreux utilisateurs et sur le fait que les particuliers ou les entreprises n’appliquent pas toujours les correctifs aux applications.

2014 aura été marquée par la découverte de vulnérabilités dans deux protocoles open source largement utilisés : il s’agit des vulnérabilités "Heartbleed" et "Shellshock". Heartbleed, qui est un défaut dans le protocole de chiffrement OpenSSL, permet à un attaquant de lire le contenu de la mémoire, et d’intercepter des données personnelles, sur les systèmes qui utilisent une version vulnérable du protocole. Le protocole OpenSSL est largement utilisé dans la sécurisation des communications via Internet, qu’il s’agisse de sites, de messagerie électronique, de messagerie instantanée et de réseaux privés virtuels (VPN). Dès lors, l’impact potentiel de cette vulnérabilité était immense. Comme c’est souvent le cas lorsque des données personnelles ont peut-être été exposées, les utilisateurs se sont empressés de modifier leur mot de passe. Une telle mesure n’était efficace que si le fournisseur d’accès avait pris toutes les mesures pour appliquer le correctif à OpenSSL et sécuriser le système. Dans le cas contraire, le nouveau mot de passe aurait toujours été exposé au risque d’une attaque réalisée à l’aide de cette vulnérabilité. Deux mois après la divulgation de cette vulnérabilité, nous avons présenté quelques points de vue sur son impact.

Au mois de septembre, le milieu de la sécurité de l’information était une nouvelle fois confronté à une alerte rouge suite à la découverte de la vulnérabilité Shellshock (connue également sous le nom de ‘Bash’). Grâce à cette vulnérabilité, un attaquant peut joindre à distance un fichier malveillant à une variable qui est exécutée à l’invocation de l’interpréteur de commandes Bash (Bash est l’environnement d’exécution par défaut sur les systèmes Linux et Mac OS X). šL’impact marqué de cette vulnérabilité associé à la simplicité de son exploitation furent à l’origine d’une grande préoccupation. Nombreux sont ceux qui comparé cette vulnérabilité à Heartbleed. Toutefois, à la différence de Heartbleed, Shellshock permettait de prendre les commandes du système et non pas de simplement voler des données de la mémoire. Les attaquants n’auront pas attendu longtemps avant de tenter de profiter de cette vulnérabilité. Nous avons abordé quelques-uns des premiers exemples d’attaque peu de temps après cette découverte. Dans la majorité des cas, les individus malintentionnés ont attaqué à distance des serveurs Web qui hébergeaient des scripts CGI (Common Gateway Interface) écrits dans Bash ou qui transmettaient les valeurs aux scripts de l’environnement d’exécution. Il se peut toutefois également que la vulnérabilité ait un impact sur une infrastructure Windows. Malheureusement, le problème ne se limitait pas aux seuls serveurs Web. Bash est largement utilisé dans les micrologiciels de périphériques qui font partie de notre vie de tous les jours. Il s’agit notamment de routeurs, d’appareils électroménagers et de points d’accès sans fil. Dans certains cas, il est difficile, voire impossible, d’appliquer le correctif à ces périphériques.

Internet est chaque jour un peu plus présent dans nos vies. Parfois, cette présence saute aux yeux car la connectivité est proposée dans des objets de tous les jours. Ce phénomène, baptisé l’Internet des objets, reçoit une attention toujours plus grande. En dépit de son côté futuriste, l’Internet des objets est en réalité plus proche que vous ne le croyez. Si vous entrez dans une maison aujourd’hui, il est probable que vous y trouverez des périphériques connectés au réseau local, mais qui ne sont pas des périphériques traditionnels comme des ordinateurs, mais bien un téléviseur intelligent, une imprimante, une console de jeu, un périphérique de stockage en réseau ou un type de lecteur de média ou de décodeur satellite.

Un de nos chercheurs en sécurité a analysé sa propre demeure afin de voir si elle était vraiment à l’abri des menaces cybernétiques. Il a étudié plusieurs appareils chez lui, dont des périphériques de stockage connectés au réseau, un téléviseur intelligent, un routeur et un décodeur satellite afin de voir s’ils étaient vulnérables à une attaque. Les résultats furent des plus surprenants. Il a détecté 14 vulnérabilités dans les périphériques de stockage connectés au réseau, une dans le téléviseur intelligent et plusieurs fonctions de commande à distance potentielles dissimulées dans le routeur. šTous les détails de cette enquête sont présentés ici. Il est important que tout le monde comprenne les risques potentiels associés à l’utilisation de périphériques réseau, aussi bien chez soi qu’au bureau. Nous devons comprendre également que nos informations ne sont pas sécurisées simplement parce que nos mots de passe sont robustes ou parce que nous utilisons des logiciels de protection contre les codes malveillants. Il existe de nombreux éléments sur lesquels nous n’avons aucun contrôle et jusqu’à un certain point, le sort de nos informations est entre les mains des éditeurs de logiciels et des fabricants de matériel. šPar exemple, certains périphériques ne possèdent pas de routine de vérification automatique des mises à jour. C’est au consommateur qu’il incombe de télécharger et d’installer le nouveau micrologiciel. Cette tâche n’est pas toujours aisée. Pire encore, il n’est pas toujours possible de mettre à jour un périphérique (la majorité des périphériques étudiés dans le cadre de ce projet n’était plus commercialisée depuis plus d’un an).

3. Poursuite de la croissance exponentielle des malwares pour appareils mobiles

Nous avons observé une augmentation sensible du nombre de malwares pour appareils nomades au cours de ces dernières années. Entre 2004 et 2013, nous avons analysé près de 200 000 échantillons de code de malwares pour appareils nomades. Et rien que pour 2014, nous avons analysé 295 593 échantillons supplémentaires. Toutefois, ces chiffres ne suffisent pas à dresser le tableau entier. Ces échantillons de code sont réutilisés et recompilés. En 2014, nous avons observé 4 643 582 paquets d’installation de malware pour appareils nomades (en plus des 10 000 000 de paquets d’installation que nous avions observés au cours de la période 2004-2013). Le nombre d’attaques de malwares pour appareils nomades a été multiplié par 10 et est passé de 69 000 en août 2013 à 644 000 en mars 2014 (cf. Menaces cybernétiques contre les appareils nomades, rapport conjoint de Kaspersky Lab et INTERPOL, octobre 2014).

53 % de l’ensemble des détections de malware portent sur des malwares capables de voler de l’argent. Un des exemples les plus significatifs est Svpeng, développé pour voler l’argent des clients de trois des plus grandes banques de Russie. Le Trojan attend qu’un client ouvre son application de banque électronique et la remplace par sa propre version afin d’obtenir les informations d’identification du client. Il tente également de voler les données des cartes de crédit en affichant sa propre fenêtre avec des champs de saisie sur celle de l’application Google Play. Nous pouvons également citer Waller qui, outre des fonctions de Trojan-SMS normal, vole l’argent des portefeuilles QIWI sur les appareils infectés.

Les cybercriminels ont également emprunté la voie de la diversification pour gagner de l’argent sur le dos de leurs victimes : ils utilisent des méthodes qui ont fait leurs preuves contre les utilisateurs d’ordinateurs de bureau ou mobiles. C’est ainsi que l’on trouve maintenant des Trojans de la catégorie ransomware. Les fausses applications antivirus constituent un autre exemple d’une méthode établie adaptée aux appareils nomades. Cette année aura également vu l’apparition du premier Trojan géré via un serveur de commande hébergé sur le réseau Tor. La backdoor Torec est une modification d’Orbot, un client Tor très utilisé. Grâce à cette astuce, il devient impossible de mettre hors ligne le serveur de commande.

Jusqu’il y a peu, la quasi-totalité des malwares qui visaient iOS était conçue pour les appareils qui avaient été "jailbreakés".

Toutefois, l’apparition récente du malware "WireLurker" démontre qu’iOS n’est pas à l’abri d’une attaque.

Les appareils mobiles font désormais partie de notre vie de tous les jours. Dans ce contexte, il n’y a rien d’étonnant à ce que le développement des malwares pour appareils mobiles soit soutenu par une activité cybercriminelle qui comporte des auteurs de malwares, des testeurs, des concepteurs d’applications, des développeurs Web et des gestionnaires de réseaux de zombies.

4. La bourse ou vos fichiers

Le volume de ransomwares a augmenté au cours de ces dernières années. Certains se contentent de bloquer l’accès à l’ordinateur de la victime et exigent le versement d’une rançon pour rétablir l’accès normal. D’autres vont plus loin et chiffrent les données stockées sur l’ordinateur. "ZeroLocker" est un des exemples récents. ZeroLocker chiffre presque tous les fichiers sur l’ordinateur de la victime et y ajoute l’extension ".encrypt" (il ne chiffre pas les fichiers qui se trouvent dans des répertoires contenant les mots "Windows", "WINDOWS", "Program Files", "ZeroLocker" ou "Destroy" et il ne chiffre pas non plus les fichiers de plus de 20 Mo). Le Trojan chiffre les fichiers à l’aide d’une clé AES de 160 bits. Une fois que les fichiers ont été chiffrés, l’utilitaire "cipher.exe" est lancé afin de supprimer toutes les données non utilisées sur le disque. Ces deux éléments compliquent énormément la récupération des fichiers. Pour déchiffrer les fichiers, les cybercriminels à l’origine de ZeroLocker exigent un paiement initial en bitcoins équivalent à 300 dollars américains. Si la victime ne paie pas tout de suite, le montant passe à 500, puis à 1 000 dollars américains au fil du temps.

Parmi les autres ransomwares que nous avons analysés cette année, il y a Onion. En plus de cacher ses serveurs de commande sur le réseau Tor, ce Trojan prend en charge une interaction complète avec Tor sans aucune intervention de la victime. D’autres programmes similaires communiquent avec le réseau Tor en lançant (parfois en injectant du code dans d’autres processus) le fichier légitime "tor.exe". Onion, quant à lui, met en œuvre cette communication dans le cadre du code du malware en lui-même. Onion utilise également un algorithme de chiffrement inhabituel qui rend le déchiffrement des fichiers impossible, même en cas d’interception du trafic entre le Trojan et le serveur de commande. Non seulement ce Trojan utilise un chiffrement asymétrique, mais il emploie également un protocole de chiffrement connu sous le nom ECDH (Elliptic Curve Diffie-Hellman). Le décryptage est impossible sans la clé privée principale qui ne quitte jamais le serveur contrôlé des cybercriminels.

Cette année, nous avons pu observer l’apparition de ransomwares pour appareils Android. Par exemple, la première version de Svpeng, découverte au début de l’année 2014, verrouille le téléphone en prétextant que la victime a consulté des images de pédopornographie et exige le paiement d’une "amende" de 500 dollars pour déverrouiller l’appareil. Une variante de ce malware, détectée en juin 2014, verrouille complètement l’appareil au point où la seule manière de l’éteindre est de maintenir enfoncé le bouton de mise hors tension pendant un long moment. Le Trojan se charge à nouveau dès que l’appareil est remis sous tension. Cette version vise principalement les utilisateurs aux Etats-Unis, mais nous avons recensé des victimes au Royaume-Uni, en Suisse, en Allemagne, en Inde et en Russie. Dans ce cas, la rançon à payer pour déverrouiller l’appareil s’élève à 200 USD et le paiement doit être réalisé via Money Pak. L’écran de la demande de rançon affiche une photo de la victime prise avec la caméra frontale. Un autre Trojan découvert en mai 2014 et baptisé "Koler" exploite une méthode similaire : il verrouille l’appareil et exige le versement d’une rançon comprise entre 100 et 300 USD pour déverrouiller le téléphone. A l’instar de Svpeng, ce Trojan affiche un message prétendument envoyé par la police. Il a fait des victimes dans plus de 30 pays et utilise des messages de la "police" locale.

Infrastructure de diffusion de Koler

Le premier Trojan Android capable de chiffrer des données est apparu en mai 2014 et il se nomme Pletor. Ce Trojan chiffre le contenu de la carte mémoire du téléphone à l’aide d’un algorithme de chiffrement AES, puis il affiche la demande de rançon à l’écran. La somme peut être payée via le portefeuille QIWI Visa de la victime, via MoneXy ou via un transfert d’argent standard vers un numéro de téléphone. Il vise principalement les utilisateurs établis en Russie et en Ukraine (mais nous avons recensé des victimes dans d’autres républiques ex-soviétiques également). La somme à verser en roubles ou en hrvynia est équivalente à environ 300 USD.

Les cybercriminels qui utilisent les ransomwares vivent des victimes qui paient. Ne payez pas. Réalisez, au contraire, des sauvegardes régulières de vos données. Ainsi, le jour où vous serez victime d’un ransomware (ou d’un problème matériel qui vous empêche d’accéder à vos fichiers), vous ne perdrez aucune de vos données.

5. Jackpot ! Malware pour retirer de l’argent d’un DAB

Les malwares pour DAB (distributeur automatique de billets) ne sont pas une nouveauté. Le premier malware de ce type, baptisé "Skimer", fut découvert en 2009. Il visait des DAB sous système d’exploitation Windows en Europe de l’Est. Il utilisait des fonctions non documentées pour imprimer les détails des cartes introduites dans la machine infectée et pour ouvrir les cassettes à l’aide d’une commande de carte principale. Nous avons ensuite vu d’autres malwares pour DAB au Brésil en 2010 ("SPSniffer") : ce malware récoltait les codes PIN dans des DAB dont les claviers ne bénéficiaient pas d’une robuste protection cryptographique. Et puis l’année dernière, nous avons découvert une nouvelle famille de malwares pour DAB ("Atmer") développés pour voler de l’argent dans des DAB au Mexique.

Cette année, à la demande d’une institution financière, nous avons mené une enquête détaillée sur une nouvelle vague d’attaques contre des DAB en Asie, en Europe et en Amérique latine. L’opération se déroulait en deux étapes. Tout d’abord, les cybercriminels devaient accéder physiquement aux DAB et introduire un CD de démarrage afin d’installer le malware baptisé "Tyupkin". Ensuite, ils redémarraient le DAB afin de charger le malware et de prendre ainsi les commandes du dispositif. Le malware s’exécute ensuite en boucles, dans l’attente d’une commande.

Afin de dissimuler cette activité malveillante, le malware n’accepte les commandes qu’à certaines heures le dimanche ou le lundi, pendant la nuit. L’attaquant peut alors saisir une combinaison de chiffres sur le clavier du DAB, appeler les opérateurs du malware, saisir une série de chiffres complémentaires et partir avec les billets sortis du distributeur.

Des images vidéo obtenues à l’aide des caméras de surveillance des DAB infectés illustrent la méthodologie suivie pour retirer l’argent des distributeurs. Une clé reposant sur une combinaison unique de chiffres aléatoires est créée pour chaque session : ainsi, personne en dehors de la bande ne risque de profiter de la fraude par accident. Le membre de la bande présent devant le DAB obtient des instructions par téléphone d’un autre membre qui connaît l’algorithme et qui est capable de générer une clé de session sur la base du numéro affiché : ainsi, les mules qui collectent l’argent en liquide ne peuvent pas voler en solo. Quand la clé exacte est saisie, le DAB affiche les montants disponibles dans chaque cassette et invite l’opérateur à choisir la cassette dont le contenu va être volé. Le DAB distribue ensuite l’argent de la cassette par tranche de 40 billets.

L’augmentation du nombre d’attaques contre des DAB au cours des dernières années s’inscrit dans l’évolution naturelle de la méthode bien établie qui repose sur l’utilisation de skimmers physiques pour voler les données des cartes introduites dans les DAB qui ont été altérés. Malheureusement, de nombreux DAB tournent sous des systèmes d’exploitation qui présentent de nombreux points faibles au niveau de la sécurité. La sécurité physique revêt dans ce contexte une importance encore plus grande. Nous souhaitons inviter toutes les banques à réviser la sécurité physique de leur DAB.

6. Windows XP : oublié, mais toujours présent ?

Microsoft a arrêté le support de Windows XP le 8 avril : cela signifie que les utilisateurs de ce système d’exploitation ne recevront plus de mises à jour de sécurité, de correctifs urgents en rapport avec la sécurité, d’assistance technique gratuite ou payante ou de mises à jour du contenu technique en ligne. Malheureusement, le nombre d’utilisateurs de Windows XP demeure encore élevé. Les données dont nous disposons indiquent qu’environ 18 pour cent des infections touchent des ordinateurs tournant sous Windows XP. Cela représente un nombre important d’utilisateurs exposés aux attaques vu que plus aucun correctif de sécurité n’est fourni En d’autres termes, toute nouvelle vulnérabilité découverte depuis avril est en réalité une vulnérabilité 0day, à savoir une vulnérabilité pour laquelle aucun correctif ne sera proposé. Ce problème va s’aggraver lorsque les éditeurs d’applications vont arrêter de développer des mises à jour pour les versions sous Windows XP. Chaque application sans correctif deviendra un point faible supplémentaire qui augmentera le risque d’attaque. Ce processus a déjà débuté en réalité : la version la plus récente de Java n’est plus compatible avec Windows XP.

Dans ce contexte, la mise à niveau vers un nouveau système d’exploitation pourrait être la solution simple et évidente. Mais même si Microsoft avait annoncé cette mesure depuis bien longtemps, on peut comprendre que la migration vers un nouveau système d’exploitation puisse poser des problèmes à certaines entreprises. Outre le coût du nouveau système, il faut également compter les investissements en nouveau matériel, voire le remplacement de cette application développée spécialement pour l’activité de l’entreprise et qui n’est pas compatible avec un système d’exploitation plus récent. Il n’est dès lors pas étonnant que certaines entreprises décident de payer pour continuer à profiter du support de XP.

Bien entendu, la protection peut être fournie par un logiciel antivirus. Mais cela est vrai uniquement si par "antivirus" nous désignons une solution de sécurité sur Internet complète qui intègre des technologies proactives en vue d’offrir une protection contre les menaces inconnues et contre l’utilisation de codes d’exploitation. Un logiciel antivirus de base qui repose sur la détection de malwares connus à l’aide de signatures ne suffira pas. Il ne faut pas oublier non plus que les éditeurs de logiciels de sécurité informatique vont continuer à développer leurs technologies et il se peut que certaines d’entre elles ne soient plus compatibles avec Windows XP.

Toute personne qui finalise sa stratégie de transition peut envisager cette option en tant que solution intermédiaire. Il est plus que probable que les auteurs de programmes malveillants vont cibler Microsoft XP qui conserve un volume d’utilisateurs élevé car un système d’exploitation privé de correctifs offre de bien meilleures opportunités. Chaque ordinateur XP sur un réseau constitue un maillon faible qui peut être exploité dans le cadre d’une attaque ciblée contre l’entreprise. Si un tel ordinateur est compromis, il offrira un accès au réseau plus large.

Il est évident que le passage à un système d’exploitation plus récent entraîne des coûts et des désagréments pour les particuliers et les entreprises. Mais le risque potentiel associé à l’utilisation d’un système d’exploitation de moins en moins sûr justifie que ces entreprises et ces particuliers fassent l’effort de migrer.

7. Sous les couches de l’oignon

Tor (abréviation anglaise pour The Onion Router) est un logiciel qui permet à un internaute de conserver son anonymat lorsqu’il navigue. Il existe depuis un certain temps, mais pendant de nombreuses années, il a été utilisé uniquement par des experts et des passionnés. Mais les taux d’utilisation de Tor ont explosé cette année, principalement en raison des préoccupations sur la confidentialité. Tor est devenu une solution utile pour ceux qui, pour une raison quelconque, craignent la surveillance et les fuites d’informations confidentielles. Mais nos enquêtes ont indiqué également que Tor était très intéressant pour les cybercriminels qui apprécient son anonymat.

C’est en 2013 que nous avons observé les premiers cas d’utilisation de Tor par des cybercriminels à la recherche d’un refuge pour leur infrastructure malveillante. En plus des malwares, nous avons trouvé de nombreuses ressources connexes telles que des serveurs de commande, des tableaux d’administration, etc. En plaçant leurs serveurs dans le réseau Tor, les cybercriminels les protègent contre l’identification et il devient plus difficile de placer ces serveurs dans des listes noires et de les éliminer. Il existe également un marché clandestin sur Tor où il est possible d’acheter et de vendre des malwares ou des données personnelles volées. Les paiements sont généralement réalisées en Bitcoins, ce qui garantit un anonymat total aux cybercriminels. Tor permet aux cybercriminels de masquer l’activité du malware qu’ils utilisent, de réaliser des opérations commerciales impliquant des activités cybercriminelles et de blanchir l’argent obtenu de manière illégale.

Nous avons publié en juillet une analyse d’un Trojan ransomware baptisé "Onion". Il avait franchi une nouvelle étape dans l’utilisation de Tor.

Les développeurs de malware pour Android ont également commencé à utiliser Tor. Le Trojan Torec, une version malveillante du célèbre client Tor Orbot, utilise un domaine dans la pseudo zone .onion en tant que serveur de commande. Certaines modifications du ransomware Pletor utilisent également le réseau Tor pour communiquer avec les cybercriminels qui gèrent l’escroquerie.

Les cybercriminels ne peuvent pas toujours agir dans l’impunité, même lorsqu’ils utilisent Tor. C’est ce qu’a démontré une opération de police internationale menée contre des cybercriminels offrant leurs services via Tor ("Operation Onymous").

Comment les autorités policières et judiciaires impliquées dans cette opération ont-elles réussi à s’attaquer à un réseau prétendument "inviolable" ? En effet, du moins en théorie, il est impossible de connaître l’emplacement physique d’un serveur Web derrière un service caché que l’on visite. Toutefois, il existe des méthodes qui permettent de compromettre un service caché sans devoir attaquer l’architecture Tor elle-même, comme nous en avons discuté ici. La sécurité d’un service sur Tor peut être garantie uniquement si ce service a été correctement configuré, s’il ne présente aucune vulnérabilité ou erreurs de configuration et si l’application Web ne possède aucune faille.

8. Le bon, la brute et le truand

Malheureusement, la division entre les bonnes applications et les mauvaises n’est pas toujours nette. Le risque qu’une application développée à des fins légitimes soit utilisée à mauvais escient par des cybercriminels existera toujours. Lors du Kaspersky Security Analyst Summit 2014 organisé au mois de février, nous avons exposé la manière dont la mauvaise mise en œuvre de technologies antivol dans le micrologiciel d’ordinateurs portables et de certains ordinateurs de bureau pouvait transformer celles-ci en armes puissantes entre les mains de cybercriminels. Nos recherches en la matière ont débuté lorsqu’un employé de Kaspersky Lab s’est trouvé confronté à des plantages répétés de processus système sur un de ses ordinateurs personnels. Ces plantages étaient liés à une instabilité au sein de modules appartenant au logiciel Computrace développé par Absolute Software. Notre collègue n’avait pas installé le logiciel et il ignorait jusqu’à son existence sur l’ordinateur. Cette situation nous a préoccupé car d’après un livre blanc diffusé par Absolute Software, l’installation doit être réalisée par le propriétaire de l’ordinateur ou par le service informatique. De plus, tandis que la majorité des logiciels préinstallés peut être désinstallée ou désactivée définitivement par le propriétaire de l’ordinateur, Computrace a été conçu pour résister à un nettoyage professionnel du système et même à un remplacement du disque dur. Il ne s’agissait pas d’un cas isolé car nous avons trouvé des éléments indiquant l’exécution de Computrace sur les ordinateurs personnels de certains de nos chercheurs ainsi que sur certains ordinateurs de l’entreprise. Cela nous a motivé à réaliser une analyse en profondeur.

Au début, nous avions pensé que Computrace était une application malveillante car elle utilise bon nombre d’astuces que l’on retrouve dans les malwares d’aujourd’hui. Et c’est un fait que par le passé, ce logiciel a été détecté en tant que malware mais de nos jours, la majorité des éditeurs de logiciels antivirus ont placé les fichiers exécutables de Computrace dans une liste blanche.

Nous pensons que Computrace a été développé avec de bonnes intentions. Toutefois, nos recherches ont démontré que des vulnérabilités présentes dans le logiciel pouvaient permettre un détournement par des individus malintentionnés. Nous estimons qu’un outil aussi puissant doit intégrer une authentification et un chiffrement robustes. Rien ne nous a permis de confirmer que les modules de Computrace avaient été activés en secret sur les ordinateurs analysés. Il est toutefois évident que le nombre d’ordinateurs sur lesquels les agents Computrace ont été activés est élevé. Nous pensons qu’il incombe aux fabricants et à Absolute Software de prévenir ces personnes et de leur expliquer comment elles peuvent désactiver le logiciel si elles ne souhaitent pas l’utiliser. Dans le cas contraire, ces agents orphelins continueront à fonctionner à l’abri des regards et offriront des possibilités d’exploitation à distance.

Nous avons publié en juin les résultats de notre enquête sur un logiciel "légitime" appelé Remote Control System (RCS) développé par la société italienne Hacking Team. Nous avons découvert une fonctionnalité qui permet de prendre les empreintes des serveurs de commande. Ceci nous a permis de balayer l’ensemble de l’espace IPv4 et de trouver la totalité des adresses IP des serveurs de commande de RCS à travers le monde. Nous en avons identifié 326 au total, la majorité aux Etats-Unis, au Kazakhstan et en Equateur. Les informations WHOIS ont permis d’identifier plusieurs adresses IP liées à des gouvernements. Bien entendu, nous ne pouvons pas être certains que les serveurs situés dans un pays en particulier sont utilisés par les autorités judiciaires et policières de ce pays, mais cela serait logique : on évite ainsi les difficultés juridiques transfrontalières et de risque de voir les serveurs saisis par d’autres. Nous avons également découvert un certain nombre de modules malveillants pour appareils nomades en provenance de HackingTeam et développés pour Android, iOS, Windows Mobile et BlackBerry. Tous sont contrôlés à l’aide du même type de configuration, ce qui indique clairement qu’ils appartiennent à la même famille. Au risque de ne surprendre personne, nous nous sommes particulièrement intéressés aux modules destinés à Android et iOS en raison de la popularité de ces plates-formes.

Les modules sont installés à l’aide d’infecteurs qui sont des fichiers exécutables spéciaux pour Windows ou Mac OS exécutés sur des ordinateurs déjà infectés. Le module iOS est compatible uniquement avec les appareils jailbreakés. Cela réduit ses capacités de diffusion, mais la méthode d’infection utilisée par RCS signifie qu’un attaquant peut exécuter un outil pour jailbreaker (par exemple, Evasi0n) depuis un ordinateur infecté auquel le téléphone est connecté, du moins tant que l’appareil n’est pas verrouillé. Le module iOS permet à l’attaquant d’accéder aux données stockées sur l’appareil, dont le courrier électronique, les contacts, l’historique des appels, les pages Web en cache, d’activer le micro à l’insu de l’utilisateur et de prendre des photos. Il obtient ainsi un contrôle total sur l’ensemble de l’environnement au sein de l’ordinateur de la victime et autour de celui-ci.

Le module Android est protégé par l’optimiseur/l’obfuscateur DexGuard, ce qui complique son analyse. Nous avons pu toutefois confirmer que ses fonctions sont identiques à celles du module pour iOS et qu’il permet également de détourner les informations des applications suivantes : ‘com.tencent.mm’, ‘com.google.android.gm’, ‘android.calendar’, ‘com.facebook’, ‘jp.naver.line.android’ et ‘com.google.android.talk’.

Ces nouvelles données mettent en évidence la sophistication de ces outils de surveillance. Notre politique à l’encontre de ces outils est très claire. Notre mission est de détecter toute attaque de programme malveillant et d’y remédier, quelle que soit son origine ou son objectif. En ce qui nous concerne, la distinction entre "bons" et "mauvais" en matière de programmes malveillants n’a pas lieu d’être ; nous avons diffusé par le passé des avertissements publics portant sur les risques des logiciels espions "légitimes". Il est primordial que ces outils de surveillance ne tombent pas entre les mauvaises mains. C’est la raison pour laquelle le secteur de la sécurité informatique ne peut tolérer aucune exception au moment de détecter les programmes malveillants.

9. Vie privée et sécurité

Les tiraillements entre vie privée et sécurité continuent de faire la une des journaux.

Parmi la série de fuites d’informations confidentielles enregistrées cette année, il n’est pas vraiment surprenant que l’incident qui a attiré le plus l’attention fut celui impliquant le vol et la publication de photos intimes de différentes stars hollywoodiennes. Ce cas met en évidence la responsabilité des fournisseurs et des individus en matière de sécurité des données stockées en ligne. Il semblerait que le vol a pu être réalisé à cause d’une faille dans la sécurité du service iCloud : il n’existait aucune limite sur le nombre de tentatives de saisie du mot de passe pour l’interface du module "Localiser mon iPhone", ce qui permettait aux attaquants de trouver les mots de passe des victimes par force brute. Apple a corrigé l’erreur peu de temps après. Toutefois, l’attaque aurait échoué si les utilisateurs avaient choisi des mots de passe plus complexes. Nous passons de plus en plus de temps en ligne. Mais certains d’entre nous ne sont pas conscients des implications liées au stockage de données personnelles en ligne. La sécurité d’un service dans le Cloud dépend des efforts du fournisseur. Dès que nous confions nos données à un service tiers, nous perdons automatiquement une partie du contrôle sur celles-ci. Il est primordial de choisir soigneusement les données que nous souhaitons stocker dans le Cloud ainsi que les données que nous souhaitons déplacer automatiquement de nos périphériques vers le cloud.

La problématique des mots de passe refait surface de manière cyclique. Si les mots de passe que nous choisissons sont trop faciles à deviner, nous nous exposons au vol d’identité. Le danger augmente si nous utilisons le même mot de passe pour plusieurs comptes. Si un compte est compris, tous les autres sont en danger. C’est la raison pour laquelle de nombreux prestataires de service, dont Apple, Google et Microsoft, proposent désormais un système d’authentification à deux facteurs. Autrement dit, les clients doivent saisir un code généré par un token ou envoyé à un appareil mobile pour pouvoir accéder au site, ou du moins pour modifier les paramètres du compte. Certes, l’authentification à deux facteurs améliore la sécurité, mais uniquement si elle est obligatoire et non pas facultative.

Il y aura toujours un compromis entre sécurité et simplicité d’utilisation. Dans l’espoir de trouver cet équilibre, Twitter a lancé récemment son service Digits. Les clients n’ont plus besoin de saisir un nom d’utilisateur et un mot de passe pour ouvrir une session dans l’application. Ils doivent simplement saisir leur numéro de de téléphone. Ils reçoivent alors un code à usage unique pour confirmer chaque transaction. Ce code est lu automatiquement par l’application. Twitter endosse donc le rôle d’intermédiaire. Il vérifie l’identité du client pour le compte du fournisseur de l’application. Cette démarche offre plusieurs avantages. Les consommateurs n’ont plus à soucier de trouver une combinaison nom d’utilisateur/mot de passe pour ouvrir un compte chez un fournisseur d’applications. Ils n’ont pas non plus besoin d’avoir une adresse de messagerie électronique. De leur côté, les développeurs d’applications n’ont pas besoin mettre en place leur propre cadre pour la vérification des ouvertures de session. De plus, ils ne perdent pas les clients qui ne possèdent pas d’adresse de messagerie électronique. Twitter obtient des informations plus précises sur ce qui intéresse ses clients. De plus, l’absence de stockage de mots de passe sur le serveur du fournisseur de l’application a également son avantage : une attaque contre le serveur du fournisseur ne se traduira pas par la perte des données personnelles des clients. Toutefois, si l’utilisateur perd son appareil ou s’il est victime d’un vol, la vérification via le numéro fonctionnera toujours et toute personne ayant accès au périphérique pourra accéder à l’application au même titre que le propriétaire légitime. Ceci ne représente pas un désavantage par rapport à la méthode traditionnelle qui repose sur le mot d’utilisateur et le mot de passe. A l’heure actuelle, les applications mobiles n’imposent pas une ouverture de session à chaque exécution. Autrement dit, si un individu vole le téléphone et que le propriétaire n’a pas activé la protection par un code PIN, un code de protection ou une empreinte digitale, le voleur aura accès à tout : courrier, réseau social et applications. En d’autres termes, la sécurité repose sur un seul point de défaillance : le code pin, le mot de passe ou l’empreinte digitale.

Face à l’augmentation des préoccupations relatives à la vie privée, les développeurs du site Internet "pwnedlist.com" ont créé une interface utilisateur conviviale qui permet de vérifier si vos adresses de messagerie et vos mots de passe ont été volés et publiés en ligne. Ce service est payant depuis cette année.

Face aux craintes de plus en plus grandes en matière de non-respect de la vie privée, Apple et Google ont réagi en activant le chiffrement par défaut des données sur les appareils iOS et Android. Certaines autorités judiciaires estiment toutefois que cette solution est avantageuse pour les cybercriminels car elle complique leur détection.

10. Autorités judiciaires et policières : résultats de la coopération internationale

La cybercriminalité est un phénomène qui a pris racine, alimenté par le volume toujours plus important de nos activités en ligne. Il est tentant d’imaginer que les cybercriminels peuvent agir dans l’impunité, mais les actions des autorités judiciaires et policières peuvent avoir un impact sensible sur leurs activités. La coopération internationale est particulièrement cruciale au vu du caractère transfrontalier de la cybercriminalité. Cette année aura été marquée par quelques succès retentissants dans cette lutte.

En 2014, une opération impliquant les autorités policières et judiciaires de plusieurs pays, dont la NCA (National Crime Agency) du Royaume-Uni et le FBI, a permis de mettre le réseau d’ordinateurs responsable de la gestion du réseau de zombies "GameoverZeus" hors d’état de nuire. Cette opération, baptisée "Opération Tovar", a coupé les communications du réseau de zombies, ce qui a privé les cybercriminels de la possibilité de le contrôler. GameoverZeus était un des plus grands réseaux de zombies en service construit sur la base du code du Trojan bancaire Zeus. Outre l’infection des ordinateurs par le Trojan Zeus et le vol des informations d’identification des comptes de messagerie en ligne, des réseaux sociaux, de banque électronique et d’autres services financiers en ligne, le réseau de zombies diffusait également le ransomware "Cryptolocker". La campagne organisée par les services de police a offert aux victimes un répit pour nettoyer leurs ordinateurs

Plus tôt dans cette année, Kaspersky Lab a contribué aux efforts d’une alliance entre les autorités judiciaires et policières et des organisations sectorielles, menée par la NCA, pour démanteler l’infrastructure du Trojan "Shylock". La découverte du Trojan bancaire Shylock , qui doit son nom à la présence d’extraits de la pièce Le marchand de Venise de Shakespeare, remonte à 2011. A l’instar d’autres Trojans bancaires bien connu, Shylock lance une attaque de type "homme dans le navigateur" pour voler les informations d’identification pour le service de banque électronique sur les ordinateurs des clients de la banque. Le Trojan utilise une liste prédéfinie de banques cibles qui se trouvent dans différents pays.

Au mois de novembre, l’ Opération Onymous a permis de mettre hors service des marchés clandestins qui opéraient au sein du réseau Tor.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *