Infos

Le réseau de zombies Pony a récolté 2 millions d’identifiants volés

Qu'est-ce qui est pire ? Trouver deux millions de mots de passe récoltés par des bots ou découvrir que la majorité de ces mots de passe volés est loin d'être robuste. Les experts de Trustwave ont découvert récemment un nouveau contrôleur du réseau de zombies Pony qui contenait près de 2 millions d'informations d'identification de comptes associés à des sites Internet, des boîtes aux lettres ou des comptes FTP, RDP et SSH. La majorité de ces informations permet d'accéder à des services sur Internet très utilisés comme Facebook, Google, Twitter, Yahoo et LinkedIn. La base retrouvée contient également près de 8 000 mots de passe d'accès à des comptes du service de gestion de la paie ADP. 

D'après Daniel Chechik et Anat Davidi, chercheurs chez Trustwave SpiderLabs : "Ce mélange de domaines est tout à fait naturel. Ce qui est surprenant, c'est que ce domaine [adp.com] n'arrive qu'en neuvième position dans la liste. Les profils de Facebook constituent un bon butin pour les individus malintentionnés, mais les comptes de service de gestion de la paie garantissent un revenu financier direct."

Le contrôleur de Pony assure l'interface d'administration du réseau de zombies. Il est doté d'un panneau de configuration qui permet d'accéder aux journaux d'activité, aux statistiques d'infection et qui sert également à réaliser l'inventaire des données volées et de les gérer. Dans la mesure où le code source de Pony avait été diffusé sur Internet au début de cette année, ces contrôleurs et leurs différentes versions sont apparus de plus en plus souvent.

D'après les informations de SpiderLabs, la récente trouvaille affiche clairement une touche russe : les données volées contiennent beaucoup de compte des sites Odnoklassniki et Vkontakte. D'après les statistiques, ce contrôleur gère les connexions depuis plus de 100 pays. La majorité de requêtes provient des Pays-Bas, maisvu que leur source est une seule et même adresse IP, les experts ont émis l'hypothèse qu'il s'agit d'une passerelle entre les ordinateurs infectés et un serveur de commande établi dans ce même pays.

Daniel Chechik et Anat Davidi expliquent que les "individus malintentionnés utilisent souvent des proxy inverses afin de protéger le serveur de commande contre la détection et le blocage. Le trafic en provenance de l'ordinateur infecté affiche uniquement la connexion avec un serveur proxy qui peut être facilement remplacé en cas de déconnexion. Ce comportement est intéressant en soi, mais à cause de cela nous n'avons pas été en mesure d'obtenir plus de détails sur les cibles dans les pays attaqués."

Le vol massif de données d'enregistrements (plus de 318 000 comptes Facebook, près de 60 000 comptes Yahoo et près de 54 400 comptes Google) est un événement désagréable en soi, mais après l'analyse des mots de passe, les chercheurs ont également remarqué, sans grande surprise, que ces mots de passe étaient dans la majorité des cas très simples. Des centaines de milliers d'entre eux n'étaient composés que de lettres ou que de chiffres. Le mot de passe le plus fréquent était la séquence 123456, sept mots de passe du Top 10 des mots de passe les plus utilisés commencent par 13. Le Top 10 compte également password, admin et 111111.

Le niveau de complexité des mots de passe volé laisse aussi à désirer. 34 % d'entre eux ont été considérés comme insuffisants par SpiderLabs : ils sont courts et n'utilisent qu'un seul type de caractères ou une combinaison répandue. Seuls 22 % des mots de passe pouvaient être considérés comme bons et robustes : il s'agit de mots de passe qui utilisent au moins trois types de caractères différents. Les experts résument : "Malheureusement, les mots de passe les plus courants sont ceux qui ne feront certainement pas plaisir à votre responsable du service de sécurité informatique."

http://www.generation-nt.com/botnet-mot-passe-google-facebook-pony-trustwave-actualite-1823342.html

Le réseau de zombies Pony a récolté 2 millions d’identifiants volés

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception