Infos

Un site du gouvernement américain hébergeait un ransomware

Mercredi dernier encore, un site Internet du gouvernement américain hébergeait un downloader malveillant en JavaScript qui débouchait sur l’installation du ransomware Cerber chez les victimes.

Ankit Anubhav, chercheur chez NewSky Security, a annoncé sa découverte mercredi via Twitter et quelques heures plus tard, le site était mis hors ligne. Aucune information n’existe à l’heure actuelle sur les victimes potentielles.

La méthode employée pour installer le downloader sur un site .gov est elle-aussi inconnue. D’après Ankit Anubhav, soit le site a été piraté, soit il stocke peut-être des pièces jointes d’adresses email du gouvernement et le downloader avait été ainsi archivé.

Les chercheurs ont souligné de nombreux points communs avec la campagne de courrier indésirable Blank Slate qui avait propagé Cerber au début de cette année. Les messages électroniques de cette campagne contenait uniquement un double fichier zip et le deuxième d’entre eux contenait soit un fichier JavaScript malveillant, soit un document Microsoft Word malveillant. Les messages ne contenaient pas de texte et les experts croyaient à l’époque que tout ceci visait à éviter la détection.

Au moment de la publication de cet article, le Département de la Sécurité intérieure n’avait pas répondu aux nombreuses demandes d’informations.

Ankit Anubhav a expliqué que le site hébergeait une archive .zip qui contenait un JavaScript avec un PowerShell obfusqué. Le PowerShell télécharge un fichier gif qui est en réalité un exécutable de Cerber.

Cela fait plus d’un an que Cerber circule et comme la majorité des familles de ransomware de chiffrement, il a été propagé par des kits d’exploitation, des campagnes de spam et le même réseau de zombies que celui employé par le malware financier Dridex. Au début de cette année, des attaquants ont exploité une vulnérabilité Apache Struts critique sur des serveurs Windows pour placer Cerber sur les machines.

Ankit Anubhav et Mariano Palomo Villafranca, analyste de malware pour l’opérateur de téléphone espagnol Telefonica, ont publié aujourd’hui une analyse de l’attaque. Ils signalent que la majorité des sites .gov aux États-Unis sont classés dans les listes blanches par les services de réputation, ce qui en fait des hôtes de malware parfaits pour les attaquants qui souhaitent échapper à la détection.

Ankit Anubhav explique qu’une victime pouvait recevoir un lien qui la conduisait à une page hébergeant le fichier .zip et une fois qu’elle avait cliqué sur celui-ci, le fichier était exécuté, le JavaScript était extrait, ce qui lançait le PowerShell qui téléchargeait à son tour le malware depuis un domaine malveillant connu.

Ankit Anubhav explique : « ce PowerShell télécharge le malware depuis un site malveillant connu, puis l’exécute. Bien entendu, ces étapes se déroulent automatiquement et l’utilisateur final ne voit rien. »

Cerber est la charge utile et avant de chiffrer les fichiers sur l’hôte, il recherche la présence éventuelle de certains packs linguistiques pour la Communauté des États indépendants (CEI) sur l’ordinateur compromis avant de poursuivre.

Ankit Anubhav et Mariano Palomo Villafranca ont écrit que l’exécutable gif était un programme d’installation NSIS qui extrait le fichier de configuration JSON de Cerber. Au mois de mars, des chercheurs ont remarqué que les infections Cerber parvenaient à déjouer la détection en se cachant dans des programmes d’installation NSIS avant de s’exécuter. Des chercheurs de chez Deep Instinct ont déclaré à Threatpost que les versions 4 et 5.1 de Cerber et de nombreuses versions de Locky utilisaient cette technique, tout comme différentes versions de Cryptolocker et Cryptowall.

NSIS, qui est l’abréviation de Nullsoft Scriptable Install System, est un système open source utilisé pour construire des programmes d’installation Windows.

À l’instar d’autres ransomwares, Cerber envoie la clé de déchiffrement qui permet aux utilisateurs de récupérer les données chiffrées contre le paiement d’une rançon en Bitcoins. Les premières versions du malware étaient vendues sous le schéma de malware en tant que service et d’autres étaient codées pour obliger l’ordinateur de la victime à parler à celle-ci et lui répéter encore et encore que les documents et les fichiers avaient été chiffrés.

Source : Threatpost

Un site du gouvernement américain hébergeait un ransomware

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception