Kit d’exploitation RIG, un Assistant pour escrocs

Suite à l’élimination réussie d’une partie de l’infrastructure intervenant dans la diffusion du dangereux programme de chiffrement malveillant CryptoLocker, il est plus que probable que ce dernier va commencer à céder du terrain. Et ce ne sont pas les prétendants à la succession qui manquent : des alternatives ont déjà fait leur apparition sur le marché noir.

CryptoWall est le programme malveillant de blocage par chiffrement le plus récent qui a attiré l’attention des chercheurs et qui est déjà responsable d’un nombre non négligeable d’infections. Les experts de Cisco signalent que ce programme malveillant se propage à l’aide du kit d’exploitation RIG. A l’instar de CryptoLocker, CryptoWall chiffre les données sur le disque dur à l’aide d’une clé RSA de 2 048 bits et exige le versement d’une rançon dans un délai déterminé. Le montant de cette rançon est compris entre 300 et 600 dollars. La victime est invitée à réaliser le paiement au travers d’une page individuelle accessible via le lien indiqué ou de charger le navigateur Tor et de saisir l’adresse onion manuellement. En cas de non paiement, les individus malintentionnés menacent de détruire la clé de chiffrement, ce qui signifie que les fichiers de la victime pris en otage seront définitivement perdus.

« Cette menace doit vraiment être prise au sérieux : nous avons eu vent de cas où les escrocs ont tenus leurs promesses » prévient Levi Gundert, principal analyste antivirus chez Cisco et spécialiste de la communication. Il poursuit en expliquant que les « programmes malveillants de blocage ont démontré leur efficacité en tant qu’outil d’escroquerie et je doute fort que les variations sur le thème de CryptoLocker disparaissent bientôt.

Cisco a commencé à bloquer le trafic RIG à la fin du mois d’avril et son pic a été enregistré au mois de mai. Ce kit d’exploitation attaque les utilisateurs via une publicité malveillante qui apparaît même sur les sites populaires et légitimes. D’après les données de Cisco, à l’heure actuelle 48 % du kit RIG est composé de codes d’exploitation de vulnérabilités pour Flash, 30 % pour des vulnérabilités dans le plug-in Microsoft Silverlight et 13 % pour Java. Les codes d’exploitations pour Silverlight augmentent, tandis que ceux pour Java diminuent progressivement. L’ampleur de l’exploitation des failles dans Silverlight est confirmée par une attaque récente par code d’exploitation contre les clients de Netflix, un fournisseur américain de vidéos à la demande en ligne. Netflix utilise Silverlight en tant que composant de son service dont la popularité croissante ne pouvait pas passer inaperçue pour les cybercriminels.

Dès lors que CryptoWall a montré l’exemple de la symbiose qui pouvait exister entre un programme malveillant de blocage et un kit d’exploitation qui puisait dans les faiblesses des réseaux de publicités, il faut s’attendre à l’apparition d’imitateurs. D’après les observations de Cisco, la moitié des requêtes qui arrivent sur la page d’entrée de RIG proviennent du nœud ads1[.]solocpm[.]com, et 90 % d’entre elles étaient redirigées depuis des domaines d’un autre réseau de publicités, à savoir adnxs[.]com. L’analyse des champs du référant dans les requêtes a démontré que la publicité malveillante associée à RIG pouvait être diffusée sur des sites très visités comme altervista.org, apps.facebook.com et ebay.in.

Certains sites malveillants fonctionnent sous WordPress, mais d’après Cisco, ils ont été compromis n’ont pas via des vulnérabilités, mais via le craquage de mots de passe. Comme l’indique Levi Gundert, « Si le kit d’exploitation est hébergé sur des sites légitimes, il n’est pas nécessaire de créer une infrastructure de domaine spéciale et de la soutenir. Cela permet d’éliminer une partie des problèmes associés à cette méthode : enregistrement de nouveaux domaines, création aléatoire de noms de domaines, utilisations de plusieurs adresses de messagerie et autres astuces visant à masquer les traces ».

L’administration municipale de la ville de Durham dans le New Hampshire a réussi à se débarrasser d’une version de CryptoWall qui s’était introduite sur des ordinateurs de la police locale après qu’un policier avait cliqué sur un lien dans un message. Il avait fallu déconnecter tous les systèmes et les restaurer au départ de copies de sauvegarde.

Todd Selig, le maire de Durham, a indiqué à Threatpost, qu’il n’avait jamais été question d’envisager de payer la rançon. « Nous réalisons des sauvegardes à intervalles réguliers et tous les jours ; les copies sont conservées sur des supports externes. Nous savions donc que ces copies avaient été épargnées. Payer la rançon dans ce contexte n’avait pas de sens. Nous savions que nous pouvions rétablir les systèmes. Le seul inconvénient fut au niveau du temps requis pour isoler le virus, l’éliminer de tous les postes de travail de nos policiers et de restaurer les systèmes à l’aide des copies de sauvegarde » a explique Todd Selig.

Todd Selig a également indiqué que le message électronique à l’origine de ces déboires provenait, selon toute vraisemblance, d’une source de confiance : « Il s’agissait d’une information que l’officier de police attendait semble-t-il. Il attendait des nouvelles d’un w-e de pêche entre amis et l’ordinateur de l’expéditeur était infecté par le virus. Heureusement, nous avions pris toutes nos dispositions pour la création de copies de sauvegarde fiables. Et cette histoire a démontré à quel point il était utile de posséder de telles copie » a conclu Todd Selig.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *