EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


mercredi 25 février 2015

Equation Group & Fanny

Découvrez à travers ces liens comment depuis 2001, le group Equation est à l'origine d'attaque persistante (APT) dans plus d'une trentaine de pays.

Ce groupe surpasse tout ce qui est connu en termes de complexité et de sophistication des techniques, et unique dans l'utilisation d'outils très complexes et coûteux à développer. L'infection des victimes, l'accès et l'extraction des données ainsi que les techniques pour masquer leurs activités montrent un professionnalisme remarquable.

Les pays les plus touchés sont l'Iran, la Russie, le Pakistan, l'Afghanistan, l'Inde, la Chine, la Syrie et le Mali. Les cibles sont toujours choisies avec précision: gouvernements, antennes diplomatiques, armées, médias, télécoms, hydrocarbures, nucléaire, etc.



Pour son attaque, Equation Group a notamment utilisé le virus Fanny, un code malveillant qui porte des traces qui indiquent que les développeurs d'Equation et Stuxnet sont soit les mêmes, soit coopèrent étroitement. Fanny est si sophistiqué qu'il est capable d'infecter un disque dur au niveau de son firmware, ce qui le rend pratiquement impossible à éliminer.

Sources :

Equation Group: from Houston with love

A Fanny Equation: "I am your father, Stuxnet"

Equation: The Death Star of Malware Galaxy

Le grand braquage - l'attaque APT Carbanak

Découvrez dans cette article passionnant en français, l'histoire de cette découverte qui a commencé par une banque en Ukraine suivie quelques mois plus tard d'une en Russie. Vous découvrirez aussi le mode opératoire montrant de plus en plus le retour du spam ciblé (spread phishing) dans les méthodes d'infection, comme ici avec l'installation d'une porte dérobée. Le professionnalisme des hackers se reflète également par la patience dont ils ont su faire preuve pendant la phase d'étude de la méthodologie des banques. Par exemple, pour comprendre le fonctionnement d'une banque, les hackers enregistraient des vidéos à l'aide des ordinateurs infectés. Ces vidéos étaient ensuite transmises aux serveurs de commande (C&C). Bien que de qualité médiocre, elles permettaient malgré tout aux attaquants d'analyser les données tapées au clavier des ordinateurs et de comprendre ainsi ce que faisait la victime. Ils obtenaient ainsi les informations dont ils avaient besoin pour s'emparer de l'argent.

Mais le plus impressionnant reste l'extraction de l'argent qui se faisait par des mules (intermédiaires) qui récupéraient l'argent sans même toucher au clavier du distributeur de billets !

Plus de 100 banques auraient été touchées, chacune ayant été ponctionnée de 2,5 à 10 millions de dollars.

Pour le laboratoire Kaspersky, cette campagne cybercriminelle est la plus aboutie techniquement jusqu'à ce jour.

Source :

lundi 23 février 2015

ALERTE - CAMPAGNE DE RAN?ONGICIEL - CTB-LOCKER

Le CERT-FR a identifié qu'une campagne touchait actuellement la France (particuliers, PME, mairies). Dénommée CTB-Locker, elle se répand par courriels. Les messages sont accompagnés d'une pièce jointe, parfois présentée comme un fax, qui en réalité contient le rançongiciel.

Un rançongiciel est un programme malveillant reçu par courriel ou mis à disposition sur un site Internet, qui provoque le chiffrement de tous les fichiers d'un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique). Il existe des moyens de prévenir et de remédier à ce rançongiciel.

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes - ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N'ouvrez pas les courriels dont vous n'êtes pas certain de l'expéditeur ; vérifiez l'adresse d'envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d'une entreprise par exemple) pour vous induire en erreur. En cas de doute n'ouvrez pas les pièces jointes.
  • Evitez l'ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER)
  • N'ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ». Créez un compte « Utilisateur »
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d'incident

  • Déconnectez immédiatement votre poste de l'Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur : il faut reformater le poste et réinstaller un système sain ; puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu'elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

.../...

Source :

jeudi 5 février 2015

Cryptovirus / Ransomwares / CTB Locker / Trojan-Ransom. Win32.Onion

Une nouvelle variante du ransomware Onion a fait son apparition vous le connaîtrez peut-être sous le nom de CTB-Locker ou Citroni. Il s'agit d'un ransomware polymorphique avec un mécanisme anti-émulation. La désignation Kaspersky est Trojan-Ransom.Win32.Onion. Une de ses particularités est que les serveurs de commande et de contrôle (C&C) sont cachés dansle réseau Tor compliquant la recherche des cybercriminels. Il se caractérise également par l'utilisation d'un schéma cryptographique orthodoxe (compression + l'algorithme Diffie-Hellman) rendant le déchiffrement impossible.

Afin de ne pas être détecté, CTB évite également les machines virtuelles que les chercheurs utilisent afin d'analyser en toute sécurité les malwares et de ne pas les exécuter dans ces environnements.

Une fois infecté, il est impossible de récupérer des fichiers chiffrés par CTB-Locker. Vous pourriez payer la rançon mais outre le fait que la cybercriminalité devient un business de plus en plus professionnel et orienté vers ses clients, il n'y a aucune garantie que vous recevrez la clé pour déchiffrer vos fichiers.

  • La meilleure ligne de défense contre les #ransomwares c'est d'avoir réalisé une sauvegarde de votre machine la veille.

La propagation se faisant par campagne de spams, rappelons quelques précautions d'usage :

  • Renforcer les filtres en amont - filtrage des flux SMTP/POP3/IMAP/MAPI avec moteurs antivirus, antispam, antiphishing?
  • Changer sa politique de pièces jointes - être très restrictif en terme de format accepté
  • Revoir/vérifier sa gestion des droits (GPO, Share?)
  • Utiliser les dernières versions de KES (ne plus utiliser par exemple KAV6MP4 !)
  • Activer System Watcher (impératif)
  • Activer Kaspersky Security Network
  • Activer ??Antivirus Courrier' avec gestion des PJ locales (supprimer toutes les extensions non nécessaires)
  • Eduquer les utilisateurs !!! Ne pas ouvrir les fichiers ZIP (ou autres) provenant d'un utilisateur inconnu
  • Sauvegarder - sauvegarder - sauvegarder !

Description - Les Ransomwares

Les Ransomwares sont une variété de malwares qui, une fois qu'ils ont infecté un ordinateur, affirment en avoir chiffré les données avant de bloquer l'ordinateur de la victime. Le malware informe ensuite l'utilisateur infecté qu'il ou elle doit payer une rançon afin de déverrouiller ses fichiers.

Certains programmes de chiffrement utilisent la technologie de cryptographie à clé publique, une méthode fiable pour la protection de la communication de données sensibles.

Cependant, elle est également utilisée par les cybercriminels dans des programmes malveillants (Ransomwares) qui cryptent les données des utilisateurs de telle manière qu'elles ne peuvent être déchiffrées sans une clé spéciale «privé». (AES / RSA jusqu'à 2048 bits)

Les cybercriminels exigent habituellement de l'argent, une « rançon » en échange de cette clé, généralement sous la forme de Bitcoins. Malheureusement, il est pratiquement impossible de déchiffrer les données sans la clé privée.

Les méthodes de chiffrement particulières utilisées par les cybercriminels peuvent parfois être trouvées lors de l'analyse du code du malware. Dans ces cas, les ingénieurs de Kaspersky Lab sont capables de créer un utilitaire spécial permettant de déchiffrer les données (http://support.kaspersky.com/viruses/disinfection).

Toutefois, certains programmes malveillants ne donnent pas cette information précieuse. En outre, certains logiciels malveillants de chiffrement sont conçus de manière à s'assurer que les données ne peuvent jamais être déchiffrées, quelle que soit la clé utilisée.

Il convient de noter, cependant, que le chiffrement par ce logiciel malveillant va fonctionner seulement après avoir été installé sur un ordinateur. Les produits de Kaspersky Lab empêchent la majorité absolue de ces infections lorsqu'ils sont bien à jour et correctement configurés.


Vecteurs d'infection - Protection

Les vecteurs d'infections possibles sont :

  • Mails (Phishing)
  • Supports amovibles
  • Sites Web
  • Sessions Terminal

L'infection peut se produire lorsque :

  • La solution de sécurité de l'ordinateur n'est pas à jour.
  • L'installation est autorisée en dépit des avertissements des solutions de sécurités qu'un programme spécifique peut être malveillant.
  • L'utilisateur a défini l'analyse heuristique des fichiers au réglage minimum.
  • La configuration de l'antivirus n'est pas protégée par un mot de passe.
  • Les technologies proactives ne sont pas utilisées. ( KSN, Défense Proactive / System Watcher )
  • La configuration du module de contrôle de l'activité des applications n'est pas au point

NB : La protection Kaspersky Antivirus 6 MP4 n'est pas suffisante pour parer efficacement à ce type de malwares.


VirusLab Kaspersky

En cas de doutes sur un fichier, il convient de le remonter au VirusLab ( le(s) fichier(s) doit être dans une archive en le protégeant à l'aide du mot de passe virus ) :


Ressources

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*