Infos

Symantec a anéanti un segment important de ZeroAccess

Les experts de Symantec ont éclairci les rangs de ZeroAccess en isolant un quart des participants au réseau de zombies P2P le plus grand grâce à la technique du sinkholing (remplacement des participants au réseau). D'après les estimations de la société, ZeroAccess comptait en août dernier près de 1,9 millions d'ordinateurs infectés.

C'est au printemps que Symantec a commencé à planifier l'opération contre ZeroAccess. Au début, les autorités judiciaires et policières allaient participer également à l'opération, mais vers la fin du mois de juin, les responsables du bot ont commencé à diffuser des mises à jour qui éliminaient les vulnérabilités exploitées par le sinkholing et Symantec fut obligée d'avancer l'interception.

Comme le démontre la pratique, les réseaux de zombies P2P sont dotés d'une meilleure capacité de survie car ils ne disposent pas de centres de commandes dédiés qui pourraient être mis hors service un à un. Ce genre de réseau de zombies utilise des protocoles personnalisés pour le transfert des données et il applique également un chiffrement. Après avoir étudié les mécanismes et les faiblesses de leur cible, les experts ont commencé à charger sur le réseau de zombies de nouveaux pairs dotés de faux enregistrements et d'horodatages récents. D'après les données de Symantec, l'interception de chaque bot aura duré en moyenne 5 minutes. A l'issue de cette opération, les experts ont réussi à réorienter ou à complètement isoler plus de 500 000 membres actifs du réseau de zombies.

Cette opération visait également à tester la fonctionnalité principale de ZeroAccess. Ce programme malveillant intervient principalement dans l'augmentation artificielle du nombre de clics dans le cadre de programmes de promotion de paiement au clic ou dans l'installation de mineurs de Bitcoins. Les bots testés produisaient près de 257 Mo de trafic par heure (6,1 Go par jour) et réalisaient un peu plus de 40 faux clics (soit, près de 1 000 par jour). Selon les estimations des experts, cette productivité permet d'évaluer les revenus annuels des responsables du réseaux de zombies à plusieurs millions de dollars.

Le vol de la puissance de traitement des ordinateurs dans le but de produire des Bitcoins à l'aide du réseau de zombies ZeroAccess peut entraîner, selon les calculs de Symantec, une consommation supplémentaire de 3,5 millions de Kilowatts/heures qui devront être payés par les victimes de l'infection. Un tel montant est possible si tous les bots se consacrent à l'extraction de bitcoins 24 heures par jour. D'après les experts, le profil aussi étroit de ZeroAccess peut le rendre difficilement rentable : malgré les dépenses colossales en énergie, l'activité n'apporterait qu'un peu plus de 2 000 dollars par jours aux opérateurs du réseau.

Malheureusement, pour les responsables d'un réseau de zombies, la neutralisation partielle du réseau de zombies n'est en général qu'un léger contre-temps, même si l'effet se fait sentir. Ceci étant dit, les experts de Symantec espèrent que ce coup sera mortel pour ZeroAccess. Vikram Thakur, responsable du groupe de réactions aux incidents de sécurité informatique chez Symantec a déclaré : "Nous savons que les autorités judiciaires et policières vont contrôler la situation. Pour cette raison, nous espérons que les responsables ne se remettront pas du coup porté."

D'après les données de Symantec, les opérateurs de ZeroAccess sont originaires d'Europe de l'Est et il pourrait s'agir de Russes ou d'Ukrainiens. 70 à 80 % des participants au réseau de zombies sont des ordinateurs de particuliers. Les experts ont déjà commencé à contacter les FAI à l'étranger et les CERT respectifs afin de réaliser les opérations de nettoyage.

Source :
http://www.darkreading.com/attacks-breaches/symantec-sinkholes-chunk-of-massive-clic/240162016

Symantec a anéanti un segment important de ZeroAccess

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception