Infos

Nuclear mobilité pour la livraison de CryptoWall 4.0

La version la plus récente du ransomware CryptoWall a commencé à se propager via un kit d’exploitation. Au cours du week-end dernier, des chercheurs du centre SANS spécialisés dans les menaces réseau ont découvert que les exploitants de Nuclear, qui ont enregistré leurs domaines chez BizCN, ont ajouté une nouvelle offre à leur liste de téléchargements utiles.

Dans un billet sur le blog publié mardi de la semaine dernière, l’expert en sécurité de l’information Rackspace et le collaborateur permanent de l’ISC SANS Brad Duncan ont signalé que jusqu’il y a peu CryptoWall 4.0 se diffusait sous la forme d’une pièce jointe dans des messages de spam. C’est la premièrfois que le chercheur observe l’utilisation d’un kit d’exploitation à cette fin.

« La propagation de la version 4.0 pour remplacer CryptoWall 3.0 n’est pas une surprise » a déclaré Brad Duncan à Threatpost. « Une situation similaire s’était présentée en 2014 lorsque CryptoWall 2.0 avait remplacé CryptoWall. La mise à jour n’avait pas été ponctuelle. Elle avait débuté par du spam malveillant, puis les kits d’exploitation étaient entrés en scène. Les diffuseurs de CryptoWall 4.0 ont également commencé à utiliser des kits d’exploitation, mais cela ne signifie pas qu’ils vont tous être utilisés en même temps. La propagation va débuter par un kit, puis un deuxième va se joindre au processus, puis un troisième et un moment donné, ils chargeront tous la nouvelle version ».

Le groupe criminel qui utilise les services de la société d’enregistrement chinoise a modifié récemment l’adresse IP pour les domaines « passerelles » qui servent d’intermédiaire entre les sites compromis pour la redirection et les serveurs qui hébergent Nuclear. « Le serveur-passerelle reçoit les informations relatives au système d’exploitation et au type de navigateur sur la base de la ligne de l’agent de l’utilisateur de l’en-tête HTTP de la requête envoyée par la victime potentielle » nous dit Brad Duncan dans le cadre de son explication sur les attaques par code d’exploitation. La réponse du serveur passerelle dépend de ces données. Si le système d’exploitation n’est pas un système d’exploitation Windows, la passerelle BizCN renvoie une erreur 404 (rien ne sert de gaspiller des ressources sur un hôte qui ne possède pas les vulnérabilités requises). Si la ligne de l’agent de l’utilisateur indique Windows, le serveur passerelle renvoie 200 OK et dirige le trafic vers le serveur qui hébergent les codes d’exploitation ».

Dans le billet publié sur le site de l’ISC SANS, le chercheur fournit des exemples de modèles d’URL découvertes dans le trafic des passerelles BizCN ainsi que d’autres indices de compromission. Brad Duncan émet également l’hypothèse que les propriétaires de CryptoWall 4.0 ne vont pas se limiter à Nuclear et vont profiter d’autres kits d’exploitation, dont Angler. Le spam sera conservé comme méthode de propagation alternative. « Ils ne vont pas abandonner le spam » explique l’expert. « La diffusion de CryptoWall 4.0 via des kits d’exploitation va prendre de l’ampleur, mais cela ne signifie pas la fin des campagnes de spam malveillant. Nous sommes seulement témoins de la substitution de la version 3 par une version plus récente. Certains groupes criminels vont diffuser la version 4.0 via le spam, tandis que d’autres vont choisir les kits d’exploitation ».

Brad Duncan a également remarqué des différences entre la version la plus récente du ransomware et la version antérieure. Ainsi, dans la demande de rançon, le nom du malware apparaît simplement comme CryptoWall, sans numéro de version. De même, CryptoWall 4.0 n’enregistre pas l’adresse IP de la victime comme s’était le cas avant : « Le trafic réseau de CryptoWall 4.0 est pratiquement identique à ce que nous avions pu voir dans le cas de la version 3.0, à l’exception de l’absence de vérification de l’adresse IP. A l’heure actuelle, les signatures de Snort, obtenues lors de la connexion de CryptoWall 3.0 au centre de commande sont valides pour la version 4.0 également.

Source: Threatpost

Nuclear mobilité pour la livraison de CryptoWall 4.0

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception