Une nouvelle campagne de malwares utilisant Microsoft Word sans macros a été détectée. L’ouverture d’un document Word envoyé par e-mail ne génère pas les avertissements habituels selon lesquels les macros doivent être activées.
Les employés peuvent avoir été avertis de se méfier de tout courriel contenant des pièces jointes et de ne jamais activer les macros sur les documents reçus par courriel. Cependant, l’utilisation de Microsoft Word sans macros signifie que même l’ouverture des pièces jointes d’e-mails peut impliquer le téléchargement de malwares si des correctifs n’ont pas été appliqués.
Le processus d’infection en plusieurs étapes utilise la vulnérabilité CVE-2017-11822 Word pour installer un voleur d’informations. CVE-2017-11822 a été patché par Microsoft l’année dernière, mais les entreprises qui n’ont pas récemment corrigés leurs systèmes seront encore vulnérables à cette attaque.
CVE-2017-11822 est une vulnérabilité dans Office Equation Editor. Le bug peut se produire avec Microsoft Office depuis 17 ans. Mais l’an dernier, Microsoft a jugé que la vulnérabilité d’exécution du code était importante, mais pas critique. Cependant, de nombreux professionnels de la sécurité n’étaient pas d’accord et ont affirmé que la vulnérabilité était très dangereuse, car le bug pouvait être exploité par les pirates informatiques pour exécuter un code arbitraire et qu’elle était présente dans toutes les versions Office.
Microsoft Equation Editor est une application qui permet l’insertion et l’édition d’équations complexes dans des documents Office en tant qu’éléments OLE. L’an dernier, les chercheurs en sécurité ont été en mesure d’exploiter la vulnérabilité pour exécuter une séquence de commandes, y compris le téléchargement de fichiers à partir d’Internet. Cette campagne déclenche également le téléchargement d’un document — un fichier RTF (Rich Text File) — via un objet OLE intégré dans le document Word.
L’objet OLE ouvre le fichier RTF qui utilise la vulnérabilité pour exécuter une ligne de commande MSHTA, laquelle télécharge et exécute un fichier HTA contenant un VBScript. Le VBScript décompresse un script PowerShell qui, à son tour, télécharge et exécute le malware voleur d’informations. Le but du malware est de voler les mots de passe de navigateurs Web, de comptes de messagerie électronique et de serveurs FTP.
La campagne de malware a été conçue pour cibler les entreprises. Jusqu’à présent, quatre modèles d’e-mails ont été détectés par les chercheurs de SpiderLabs, mais beaucoup d’autres seront certainement utilisés au cours des prochains jours et semaines.
Les quatre courriels interceptés ont les lignes d’objet :
Relevé de compte TNT
Demande d`offre de prix (RFQ)
Notification de transfert envoyé par télex
Copie rapide pour le paiement du solde
Bien qu’un correctif ait été publié l’année dernière pour remédier à cette vulnérabilité, ce mardi, Microsoft a pris d’autres mesures en supprimant certaines des fonctionnalités de Microsoft Equation Editor pour empêcher l’exploitation de CVE-2017-11882.
Les entreprises peuvent atténuer cette attaque de trois façons principales :
S’assurer que les installations et les systèmes d’exploitation de Microsoft Office sont mis à jour à 100 % et régulièrement.
Utiliser un logiciel antispam pour empêcher la livraison de courriels malveillants aux utilisateurs finaux
Formation des utilisateurs finaux aux meilleures pratiques en matière de cybersécurité et aux dangers liés à l’ouverture des documents Office provenant d’une personne inconnue. Vous devriez également envisager d’envoyer un avertissement au sujet de cette campagne de malware et des lignes d’objet qui ont été utilisées.
2017 a vu une augmentation importante des attaques de malwares dans les écoles. Alors que les cybercriminels ont mené des attaques à l’aide d’une variété de malwares différents, l’un des plus gros problèmes est celui des ransomwares.
Un ransomware est un logiciel malveillant qui chiffre les fichiers, les systèmes et même les tables de fichiers maître, empêchant ses victimes d’accéder à leurs données. L’attaque s’accompagne d’une demande de rançon. Les victimes doivent payer une rançon pour chaque appareil infecté, dont le montant peut varier de quelques centaines à plusieurs milliers de dollars par appareil. Les demandes de rançon de dizaines de milliers de dollars sont désormais courantes.
Les données peuvent être restaurées à partir d’une sauvegarde, mais seulement si elles sont sauvegardées de manière fiable. Mais souvent, les fichiers de sauvegarde sont chiffrés, ce qui rend la récupération impossible à moins que la rançon ne soit payée.
Les attaques de ransomwares peuvent être aléatoires, le code malveillant étant installé par le biais de campagnes de spam à grande échelle, impliquant des millions de messages.
Les écoles sont souvent ciblées. Les cybercriminels savent très bien que les moyens de défense en matière de cybersécurité dans les écoles sont généralement insuffisants et que les rançons sont plus susceptibles d’être payées parce qu’elles ne peuvent pas fonctionner si elles n’ont pas accès à leurs données.
D’autres variantes de malwares sont utilisées pour enregistrer des informations sensibles telles que les identifiants de connexion. Ceux-ci sont ensuite relayés aux attaquants et sont utilisés par les pirates pour accéder aux réseaux informatiques des écoles. Les attaquants recherchent des informations personnelles comme les détails fiscaux, les numéros de sécurité sociale et d’autres renseignements qu’ils peuvent utiliser pour le vol d’identité.
En ce qui concerne les attaques de ransomwares, elles peuvent rapidement être découvertes, car les notes de rançon sont placées sur les ordinateurs et les fichiers ne sont pas accessibles. Contrairement, les enregistreurs de frappe et les autres formes de vol d’informations prennent souvent plusieurs mois à détecter.
Les récentes attaques de malwares dans les écoles peuvent entraîner le sabotage de l’ensemble de leurs réseaux.
Les attaques NotPetya impliquaient par exemple une forme de malware qui chiffre la table de fichiers maître, empêchant l’ordinateur de localiser les données stockées. Leur but était de saboter des infrastructures essentielles. Il n’y avait aucun moyen de récupérer la table de fichiers principale chiffré en dehors d’une restauration complète du système.
Les conséquences des attaques de malwares à l’encontre des écoles peuvent être considérables. Elles entraînent des pertes financières, les données peuvent être perdues ou volées, les équipements informatiques peuvent être rendus inutilisables et les établissements d’enseignement peuvent faire l’objet de poursuites ou d’actions en justice en raison des attaques.
Dans certains cas, les établissements scolaires ont été contraints de refuser des élèves afin de résoudre les problèmes causés par les infections de malwares, en remettant leurs systèmes en ligne.
Principales attaques de malwares dans les écoles en 2017
Vous trouverez ci-dessous quelques-unes des principales attaques de malwares qui ont eu lieu dans les écoles en 2017.
Ce n’est qu’une très petite sélection parmi un grand nombre d’attaques signalées au cours des six derniers mois.
Fermeture pendant une journée du Minnesota School District en raison d’une attaque de malwares
Les attaques de malwares dans les écoles peuvent avoir des conséquences majeures pour les élèves. En mars, le district scolaire de Cloquet, au Minnesota, a subi une attaque de ransomware qui a entraîné le chiffrement d’importantes quantités de données, empêchant l’accès à de nombreux fichiers. Les attaquants ont émis une demande de rançon de 6 000$ pour déverrouiller le chiffrement.
Le fonctionnement du district scolaire est axé sur la technologie, de sorte que sans accès à ses systèmes, les cours ont été gravement perturbées. L’école a même dû fermer pendant une journée pour que le personnel de soutien informatique puisse restaurer les données.
Pour ce cas précis, les données sensibles n’ont pas été compromises, bien que la perturbation causée ait été grave. Le ransomware était censé avoir été installé à la suite de l’ouverture par un membre du personnel d’un e-mail de phishing qui a permis d’installer le ransomware sur le réseau.
Le district scolaire Swedesboro-Woolwich a souffert d’une attaque par cryptoransomware
Le district scolaire Swedesboro-Woolwich de New Jersey comprend quatre écoles primaires et compte environ 2 000 élèves. Elle a été également victime d’une attaque de cryptoransomware qui a mis ses systèmes informatiques hors d’usage. L’attaque s’est produite le 22 mars et a entraîné le chiffrement de documents et de feuilles de calcul, bien que les données sur les étudiants n’aient pas été apparemment touchées.
L’attaque a mis hors service une partie importante du réseau, y compris les systèmes de communications internes et externes du district scolaire, voir le système de point de vente utilisé par les élèves pour payer leurs repas.
L’école a été obligée de recourir à un stylo et à du papier suite à cet incident. Son administrateur réseau a dit : « On est de nouveau en 1981 ! ».
Los Angeles Community College District (LACCD) a dû verser une rançon de 28 000$
Un ransomware a été installé sur le réseau informatique du LACCD, mettant non seulement les postes de travail du collège hors service, mais aussi son système de messagerie électronique et son système de messagerie vocale.
Des centaines de milliers de fichiers ont été chiffrés, et l’incident a touché la plupart de ses 1 800 employés et 20 000 étudiants.
Une demande de rançon de 28 000$ a été émise par les attaquants. L’école n’avait d’autre choix que de payer la rançon pour déverrouiller ses systèmes.
Le Calallen Independent School District a rapporté une attaque par ransomware
Le Calallen Independent School District, dans le nord-ouest de Corpus Christi, est l’une des dernières victimes d’une attaque par rançon.
En juin, l’attaque a commencé avec un poste de travail avant de se propager à d’autres systèmes. Cette fois, aucune donnée étudiante n’a également été compromise ou volée et le service informatique était en mesure d’agir rapidement pour pouvoir isoler les parties du réseau touchées, ce qui a mis un terme à sa propagation.
L’attaque a quand même causé des perturbations considérables, notamment pour la réparation des serveurs et des systèmes. Le district scolaire a également dû faire un investissement conséquent pour améliorer son système de sécurité afin de prévenir des attaques similaires.
Prévention des attaques de malwares et de ransomwares dans les écoles
Les attaques de malwares dans les écoles peuvent se produire par l’intermédiaire d’un certain nombre de vecteurs différents. Les attaques de NotPetya ont par exemple profité des vulnérabilités logicielles qui n’avaient pas été corrigées.
Les attaquants ont pu les exploiter à distance, sans interaction de l’utilisateur. Mais Microsoft a publié un correctif pour pouvoir corriger les failles et les empêcher deux mois avant l’attaque.
Les vulnérabilités logicielles peuvent également être exploitées via des kits d’exploitation. Il s’agit de kits de piratage chargés sur des sites Web malveillants qui recherchent les vulnérabilités des navigateurs et des plug-ins et exploitent ces vulnérabilités pour télécharger discrètement des ransomwares et des malwares.
S’assurer que les navigateurs et les plug-ins sont à toujours à jour est un des moyens pour prévenir ces attaques. Cependant, il n’est pas possible de garantir que tous les ordinateurs sont à 100 % à jour à tout moment. De plus, il y a toujours un certain délai entre le développement d’un kit d’exploitation et la sortie d’un correctif.
Ces attaques de malwares sur le web dans les écoles peuvent être évitées en utilisant une solution de filtrage Web. Un filtre Web peut empêcher les utilisateurs finaux d’accéder à des sites Web malveillants qui contiennent des kits d’exploitation ou des malwares.
La méthode la plus courante de diffusion de malwares est le spam. Les malwares (ou téléchargeurs de malwares) sont envoyés sous forme de pièces jointes malveillantes dans les spams. L’ouverture des pièces jointes entraîne une infection. Les liens vers des sites Web qui téléchargent des malwares sont également envoyés par ce moyen.
Vous pouvez empêcher les utilisateurs de visiter ces sites malveillants si vous utilisez un filtre Web. Par ailleurs, une solution avancée de filtrage des spams peut bloquer les attaques de malwares dans les écoles en garantissant que les e-mails malveillants ne sont pas envoyés dans les boîtes de réception des utilisateurs finaux.
TitanHQ peut aider les écoles, collèges et universités à améliorer leurs défenses contre les malwares
TitanHQ offre deux solutions de cybersécurité qui peuvent prévenir les attaques de malwares dans les écoles. WebTitan est un filtre Web 100% dans le cloud qui empêche les utilisateurs finaux de visiter des sites Web malveillants, y compris les sites de phishing et ceux qui téléchargent des malwares et des ransomwares.
WebTitan ne nécessite aucun matériel et aucun téléchargement de logiciel. Il peut être installé facilement et rapidement, même si vous n’avez aucune compétence technique. WebTitan peut également être utilisé pour bloquer l’accès à des contenus inappropriés tels que la pornographie, ce qui aide les écoles à se conformer à la CIPA ou « Children’s Internet Protection Act ».
SpamTitan est une solution avancée de filtrage de spam pour les écoles. Il peut bloquer plus de 99,9 % des spams et empêcher les messages malveillants d’être envoyés aux utilisateurs finaux. Si vous l’utilisez avec WebTitan, votre école sera bien protégée contre les attaques de malwares et de ransomwares.
Pour en savoir plus sur WebTitan et SpamTitan et si vous voulez plus d’informations sur les prix, contactez l’équipe de TitanHQ dès aujourd’hui. À noter que ces deux solutions sont disponibles pour un essai gratuit de 14 jours, sans obligation d’achat, ce qui vous permet de les tester et déterminer leur capacité à bloquer les cybermenaces.
Une récente attaque menée par des pirates informatiques russes a été signalée par des experts américains et britanniques en matière de cybersécurité. Le rapport indique qu’une armée de scripts et de robots a été déployée pour détecter les vulnérabilités des routeurs des petits commerces de détail.
Les routeurs sont installés dans presque n’importe quel établissement en tant que connexion à un fournisseur d’accès à Internet (FAI) ou au réseau WiFi public dans les magasins, les restaurants ou les cybercafés. Ces routeurs offrent une sécurité de base, mais les particuliers et les petites entreprises prennent rarement des précautions pour mettre à niveau leur firmware, en particulier les correctifs de vulnérabilité.
Le département de la Sécurité intérieure des États-Unis (DHS), le Federal Bureau of Investigation (FBI) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont signalé des incidents au cours desquels ils ont constaté une augmentation des attaques liées à la Russie contre des routeurs plus anciens, notamment les pare-feu et les commutateurs des principaux FAI situés principalement aux États-Unis.
Attaques contre les vulnérabilités des anciens firmwares et des mots de passe de routeur inchangés
Ces types d’attaques automatisées ciblent deux vulnérabilités : les firmwares de routeur qui n’ont pas été mis à jour et les routeurs qui utilisent encore les mots de passe par défaut qui sont fournis par les fabricants. Ces deux menaces sont courantes dans les petites entreprises et les résidences individuelles où la cybersécurité est faible. Les utilisateurs laissent souvent le mot de passe par défaut sur la console du routeur sans le savoir. Ce qui permet à toute personne pouvant consulter la liste de mots de passe du fabricant d’accéder à vos réseaux informatiques.
Les systèmes d’exploitation et les logiciels peuvent facilement être mis à jour, mais les routeurs sont souvent oubliés, même dans l’entreprise. Les fabricants de routeurs publient des correctifs sur leur site, mais il est rare que les utilisateurs les téléchargent et les installent. Soit ils ne savent pas que la mise à jour existe, soit ils ne savent pas comment mettre à jour le firmware de leur routeur, car il faut plus de connaissances en réseau informatique pour le faire.
Le 19 avril 2018, l’Équipe d’intervention d’urgence informatique des États-Unis (US-CERT) a émis une alerte (TA18-106A) concernant les cyberacteurs russes parrainés par l’État russe et qui analysent des millions de routeurs à la recherche de failles aux États-Unis et au Royaume-Uni. Un partenaire industriel a découvert l’activité malveillante et l’a signalée au National Cybersecurity & Communications Integration Center (NCCIC) et au FBI. Des scans ont donné aux attaquants la marque et le modèle des routeurs découverts. Ainsi, ils ont pu réaliser un inventaire des dispositifs vulnérables qui pourront ensuite être utilisés à des fins malveillantes.
Parmi ces dispositifs ciblés, on compte :
Les dispositifs d’encapsulation de routage générique (GRE) activés.
Les dispositifs bénéficiant de la fonctionnalité Cisco Smart Install (CMI)
Les périphériques réseau avec des SNMP (Simple Network Management Protocol) activés
Certains dispositifs et périphériques intègrent des pare-feu et des commutateurs des FAI des infrastructures critiques et des grandes entreprises.
Mais la majorité d’entre eux comprennent les routeurs grand public, y compris les dispositifs d’Internet des Objets (IdO – IoT) basés sur le consommateur.
Selon le coordonnateur de la cybersécurité du Conseil national de sécurité, Rob Joyce, il y a une forte probabilité que la Russie ait mené une campagne bien coordonnée pour avoir accès à une entreprise ; à des petits routeurs de bureau ; à des bureaux à domicile (connus sous le nom de SOHO) et à des routeurs résidentiels à travers le monde.
Les routeurs piratés utilisés pour les attaques « Man-in-the-Middle »
Une fois que le routeur est piraté, les cybercriminels peuvent l’utiliser pour mener des attaques Man-in-the-Middle (MitM) qui soutiennent l’espionnage d’entreprise. Ils peuvent accéder aux informations d’identité ou intercepter des données telles que la propriété intellectuelle, car des utilisateurs non avertis peuvent continuer à utiliser les appareils compromis.
Les attaques MitM peuvent être difficiles à détecter pour l’utilisateur final parce qu’il n’y a pas de virus ou de malwares qui interrompent l’activité. Par ailleurs, le trafic peut fonctionner naturellement lorsque l’attaquant se fait voler les données à son insu.
Les experts rapportent que des millions d’appareils ont déjà été piratés et cela pourrait conduire à de futures attaques qui exploiteraient des appareils compromis. Les FAI et toutes les entreprises utilisant encore des routeurs achetés au détail devraient mettre à jour leurs firmwares et s’assurer que les mots de passe par défaut sont changés.
Les attaques parrainées par l’État russe se sont multipliées au fil des ans. Les vulnérabilités constatées par ces attaquants ont été utilisées pour influer sur les élections, réduire les réseaux électriques et arrêter la productivité des entreprises dans le monde entier. Les années précédentes, ils visaient principalement l’Ukraine. Pourtant, l’attaque susmentionnée se concentrait essentiellement sur les entreprises et les FAI basés aux États-Unis.
Ce n’est pas la première fois que des agents russes ciblent les SOHO et les appareils résidentiels. Au cours des deux dernières années, le Département de la sécurité intérieure a été témoin de l’activité russe en matière d’analyse des vulnérabilités des routeurs. Comme de nombreux pirates informatiques, ces auteurs parrainés par la Russie tirent parti des dispositifs obsolètes et des configurations de sécurité faibles.
Souvent, les routeurs et autres dispositifs similaires ne sont pas entretenus ou gérés avec la même vigilance et le même souci de sécurité que les serveurs et les ordinateurs. Un nombre important de ces routeurs et périphériques continuent d’utiliser leurs mots de passe administrateur par défaut, tandis que d’autres ne sont plus supportés par les correctifs de sécurité ou de firmware.
L’alerte TA18-106A conseille à tous les propriétaires de routeurs de modifier toutes les informations d’identification par défaut et d’utiliser des mots de passe différents sur plusieurs périphériques. Des mots de passe simples tels que « 12345678 » ne doivent plus être utilisés, car les attaquants peuvent utiliser la force brute pour spammer différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que l’appareil soit accessible. Le DHS recommande également de « retraiter et remplacer les anciens dispositifs » qui ne peuvent pas être mis à jour.
Attaques DDoS contre des sites gouvernementaux
L’alerte technique s’adresse également aux fabricants, les encourageant à commencer à concevoir des types d’appareils qui mettent en avant la sécurité dès le départ. Cela signifierait que les protocoles obsolètes et non chiffrés ne seraient plus supportés.
D’autres mesures pourraient inclure des changements forcés de mot de passe lorsque les dispositifs comme les routeurs sont démarrés pour la première fois, y compris les nombreux ordinateurs au niveau de l’entreprise.
Quant à la multitude d’appareils IoT dans utilisés dans les foyers aujourd’hui, ils sont souvent dépourvus de tout système de sécurité pour les rendre économiques et abordables.
C’est la première fois que des représentants du gouvernement s’adressent au public et aux fabricants pour leur donner des conseils sur la façon d’améliorer la sécurité des dispositifs pouvant être remis en cause.
Les représentants du gouvernement estiment que cet effort de balayage à grande échelle fait partie du grand plan de Poutine visant à perturber l’Occident. La question est de savoir à quelle fin. Les routeurs exploités par les FAI peuvent être utilisés à des fins d’espionnage pour voler la propriété intellectuelle ou pour saisir les informations des clients des FAI. Les pirates peuvent les utiliser au moment le plus opportun.
Des routeurs domestiques et des dispositifs IoT compromis peuvent aussi être utilisés pour coordonner des DDoS ou attaques par déni de service massives contre les sites gouvernementaux et l’infrastructure Internet. Ce qui les rend intéressantes, c’est que les Russes peuvent plaider la négation de telles attaques en cas de besoin.
« Une fois que vous possédez le routeur, vous possédez le trafic », déclare un haut responsable de la cybersécurité du DHS.
En réalité, les cyberattaques parrainées par l’État russe constituent une préoccupation de sécurité nationale pour les États-Unis et le Royaume-Uni. Ils peuvent utiliser les vulnérabilités pour affecter les élections, les réseaux électriques et le commerce. Les États-Unis ont déjà combattu contre les attaques de la Russie, celles menées en Iran et en Corée du Nord.
En publiant cette récente alerte, les deux pays envoient un message clair à Poutine et à son gouvernement, en affirmant que « ces actes malveillants sont inacceptables et ne seront pas tolérés. Un responsable britannique a déclaré : « L’attribution de cette activité malveillante envoie un message clair à la Russie : nous savons ce que vous faites et vous n’y parviendrez pas. ».
Bien entendu, les Russes ont répondu à ces accusations. Dans un commentaire envoyé par e-mail à l’ambassade de Russie à Londres, un porte-parole russe a déclaré que les accusations et les spéculations étaient imprudentes, provocatrices et sans fondement. La déclaration demandait également aux deux pays occidentaux d’apporter des preuves à l’appui de ces affirmations farfelues.
Pendant de nombreuses années, on a dit que les pays qui pouvaient contrôler les océans par leurs forces marines ou dominer le ciel par leur présence aérienne pouvaient contrôler la guerre. À l’avenir, ceux qui contrôlent l’infrastructure mondiale de l’Internet auront également un avantage significatif.
Les périphériques piratés peuvent être utilisés lors de futures attaques
L’espionnage d’entreprise n’est pas la seule conséquence des attaques cybercriminelles.
Les pirates peuvent aussi laisser un code de porte dérobée (backdoor) qui reste inactif en attendant qu’ils décident plus tard d’attaquer les entreprises. Les DDoS ont été à l’origine de certaines des plus grandes cyberattaques sur Internet et qui ont détruit les grandes entreprises, notamment les protocoles Internet critiques tels que DNS.
Étude de cas
En tant que fournisseur de services de filtrage Web, Family-Guard croît à un rythme effarant, ajoutant quotidiennement des clients à son service. WebTitan pour Wi-Fi permet à Family-Guard d’offrir facilement à ses clients des contrôles de contenus Web. Déployée en tant que service cloud, cette solution est basée sur le DNS et ne requiert qu’une simple redirection DNS vers les serveurs WebTitan. Découvrez ici l’étude de cas complet de ce fournisseur de services de filtrage Web.
Forte couche de protection pour les routeurs et la configuration Wi-Fi
De nos jours, Internet est devenu indispensable pour la majorité des gens. Malheureusement, les sites Web malveillants, les spywares et les virus présentent de réelles menaces ses utilisateurs et celles-ci ne doivent tout simplement pas être ignorées.
Si vous offrez le Wi-Fi public ou possédez un routeur Wi-Fi pour la connectivité Internet publique, vous pourrez réduire le risque d’attaques en ligne et vous pourrez contrôler la navigation Web en utilisant WebTitan Cloud for Wi-Fi.
WebTitan Cloud for Wi-Fi ajoute une forte couche de protection au routeur et à la configuration Wi-Fi de vos clients. Il est impératif que le Wi-Fi public ait toujours des règles strictes de cybersécurité, et tout firmware de routeur doit être régulièrement mis à jour. WebTItan vous aide dans ce cas à fournir une excellente sécurité informatique. Enfin, grâce à cette solution, les MSP qui vendent des routeurs utilisant le Wi-Fi WebTitan peuvent garantir un accès Wi-Fi sécurisé et filtré à leurs clients.
Prenez-vous des mesures pour empêcher les téléchargements de malwares par « drive-by downloads » ?
Avez-vous mis en place des contrôles pour réduire votre surface d’attaque et empêcher vos employés de télécharger par inadvertance des malwares sur votre réseau ?
Le « malvertising », un risque majeur pour la sécurité qu’il faut gérer
La malvertising est le terme utilisé pour désigner la pratique consistant à afficher des publicités malveillantes aux visiteurs d’un site web.
Les publicités malveillantes sont diffusées par l’intermédiaire de réseaux publicitaires tiers présents sur un large éventail de sites web légitimes. Des publicités malveillantes ont été diffusées auprès des visiteurs de la plupart des 500 principaux sites web mondiaux.
On a découvert que le site web du quotidien New York Times affichait de la publicité malveillante par l’intermédiaire d’un réseau publicitaire tiers. Ces publicités redirigeaient les visiteurs vers des sites web où des ransomwares ont été téléchargés. De même, on a découvert que le site web de la BBC au Royaume-Uni affichait des publicités malveillantes qui donnaient lieu à des téléchargements de ransomwares.
D’autres sites très connus affichent de la publicité malveillante. Parmi tant d’autres, on compte AOL, le site web de la NFL, Realtor, theweathernetwork, Newsweek, infolinks, answers.com et thehill.
Proofpoint a récemment annoncé avoir réussi à fermer l’opération de contamination de malwares d’AdGholas.
Cette opération à grande échelle aurait donné lieu à l’affichage de publicités malveillantes auprès de 1 à 5 millions d’individus par jour. Les chercheurs de Proofpoint ont estimé qu’entre 10 et 20 % des ordinateurs ayant chargé les publicités malveillantes ont été redirigés vers des sites web contenant des kits d’exploitation.
Les kits d’exploitation sondent les vulnérabilités de sécurité des navigateurs web. Si des vulnérabilités sont découvertes, les malwares sont téléchargés discrètement sur l’ordinateur du visiteur du site. Bien entendu, ce n’était qu’une opération de malversation parmi tant d’autres.
Coût des infections par les malwares et les ransomwares
De nombreuses variantes de ransomwares sont capables de se déplacer latéralement au sein d’un réseau et de se répliquer. Un téléchargement peut donc infecter plusieurs ordinateurs. Chaque dispositif infecté est chiffré avec une clé distincte et une demande de rançon distincte est émise pour chaque infection.
Les organisations qui ont été victimes de multiples infections peuvent recevoir des demandes de rançon de l’ordre de plusieurs dizaines de milliers de dollars. En janvier, le Hollywood Presbyterian Medical Center a dû payer 17 000 dollars pour obtenir les clés de déchiffrement afin de déverrouiller ses ordinateurs.
La menace de malware peut être beaucoup plus grave.
Les malwares, tels que les keyloggers peuvent être utilisés pour obtenir des identifiants de connexion des comptes bancaires d’entreprise. Ceci permet aux criminels d’effectuer des transferts frauduleux et de vider les comptes d’entreprise. Les malwares peuvent installer des backdoors qui peuvent être utilisées pour voler les données des patients dans les organisations de soins de santé.
Si vous n’empêchez pas les téléchargements de malwares par « drive-by download », cela peut s’avérer très coûteux. Récemment, Ponemon Institute a calculé le coût moyen d’une atteinte à la protection des données sur les soins de santé, lequel s’élevait à 4 millions de dollars. Le coût par dossier de santé compromis a été estimé à 158 $.
Empêchez les téléchargements de malwares par « drive-by downloads »
Pour éviter les téléchargements de malwares par « drive-by downloads », vous devez employer toute une série de tactiques.
De bonnes politiques de gestion des correctifs peuvent vous aider à vous assurer que vos périphériques ne restent pas vulnérables. Les logiciels, les navigateurs et les plug-ins de navigateur doivent être tenus à jour et les correctifs doivent être appliqués rapidement en cas de besoin. À noter que les plug-ins et logiciels couramment exploités par les cybercriminels comprennent Java, Adobe Flash et PDF Reader et les navigateurs web obsolètes.
Les entreprises peuvent empêcher les employés d’être dirigés vers des sites web malveillants en utilisant une solution de filtrage Web. Ce dernier peut être configuré pour bloquer les sites web connus pour contenir des malwares ou des kits d’exploitation. Un filtre web peut être utilisé pour bloquer l’affichage des publicités tierces. Bloquez les réseaux publicitaires, et vous pouvez être certain que les publicités malveillantes ne seront plus affichées sur les sites web que vos employés peuvent visiter.
Vous devriez également mettre en œuvre des politiques d’utilisation acceptables (PUA) pour limiter les sites web pouvant être visités par vos employés. Une solution de filtrage Web peut vous aider à cet égard. Vous pouvez demander aux employés de ne pas visiter certaines catégories de sites web pouvant présenter un risque supérieur à la moyenne, mais utiliser un filtre Web serait encore plus intéressant pour appliquer les PUA.
En bloquant l’accès aux sites web pornographiques et de jeux d’argent ; aux sites contenant du contenu illégal, et à d’autres sites web à risque tels que les sites de partage de fichiers p2p, le risque de télécharger des malwares peut être considérablement réduit.
Une solution de filtrage Web ne peut pas empêcher toutes les brèches dans les données et les attaques de malwares. Pourtant, c’est un élément vital pour la cybersécurité qui ne doit donc pas être ignoré. C’est l’un des contrôles les plus importants à utiliser pour empêcher les téléchargements de malwares par « drive-by downloads ».
Une nouvelle menace de malware, appelée Viro botnet, a été détectée. Le malware combine les fonctions de chiffrement de fichiers de ransomware à un enregistreur de frappe pour obtenir des mots de passe et à un botnet capable d’envoyer des spams à partir de dispositifs infectés.
Le malware Viro botnet fait partie d’une nouvelle génération de variantes de malwares très flexibles et qui disposent d’un large éventail de fonctionnalités leur permettant de maximiser les bénéfices d’une infection réussie. Plusieurs variantes de malwares ont été découvertes récemment, combinant les propriétés de chiffrement de fichiers des ransomwares avec le code d’exploitation minière de cryptomonnaies.
La dernière menace a été identifiée par des chercheurs en sécurité de Trend Micro. Ils ont souligné que cette nouvelle menace est encore en cours de développement et semble avoir été créée de toutes pièces. Le code est différent de ceux des autres variantes de ransomwares connues.
Certaines variantes de ransomwares sont capables de s’autopropager d’un appareil infecté à d’autres appareils sur un même réseau. Viro botnet y parvient en détournant les comptes de messagerie Outlook. Il utilise ensuite ces comptes pour envoyer des spams – contenant soit une copie d’eux-mêmes en pièce jointe, soit un téléchargeur — à toutes les personnes de la liste de contacts de l’utilisateur.
Viro botnet a été utilisé dans des attaques ciblées aux États-Unis via des campagnes de spams, bien que bizarrement, la note de rançon déposée sur les ordinateurs des victimes était écrite en français. Ce n’est pas la seule nouvelle menace de ransomware à inclure une demande de rançon en français. C’est aussi le cas de PyLocky, une nouvelle menace de ransomware récemment détectée et qui se fait passer pour Locky. Cela semble être une coïncidence, car rien n’indique que ces deux types de ransomwares sont liés ou distribués par un même groupe de menaces.
Avec Viro botnet, l’infection commence par un spam contenant une pièce jointe malveillante. Si celle-ci est ouverte et que le contenu est autorisé à s’exécuter, la charge utile malveillante sera téléchargée. Viro botnet malware vérifiera d’abord les clés de registre et les clés de produit pour déterminer si sa routine de cryptage doit s’exécuter. Si ces contrôles sont réussis, une paire de clés de chiffrement/déchiffrement sera générée via un générateur cryptographique de nombres aléatoires qui seront ensuite renvoyés au serveur C2 de l’attaquant. Les fichiers sont ensuite chiffrés par le biais d’un chiffrement RSA et une note de rançon est déposée sur le bureau de l’ordinateur infecté.
Le malware Viro botnet contient un keylogger de base capable d’enregistrer toutes les frappes sur une machine infectée et de renvoyer les données au serveur C2 de l’attaquant, puis de télécharger d’autres fichiers malveillants à partir de ce même serveur.
Alors que le serveur C2 de l’attaquant était initialement actif, il est actuellement désactivé, de sorte que les données des autres périphériques infectés ne puissent plus être chiffrées. En effet, la connexion à ce serveur est nécessaire pour que la routine de chiffrement puisse démarrer. La menace a été neutralisée, mais il ne devrait s’agir que d’une brève interruption. On pourrait s’attendre à ce que le C2 soit réactivé et que d’autres campagnes de distribution plus vastes se produisent.
La protection contre les menaces par courrier électronique comme le malware Viro botnet nécessite une solution avancée de filtrage des spams comme SpamTitan pour empêcher la transmission de messages malveillants aux utilisateurs finaux. Un logiciel antimalware avancé devrait être installé pour détecter les fichiers malveillants au cas où ils seraient téléchargés.
Les utilisateurs finaux devraient également recevoir une formation de sensibilisation à la sécurité pour les aider à identifier les menaces de sécurité et à réagir de manière appropriée.
Enfin, des sauvegardes multiples doivent être créées, dont une copie sera stockée en toute sécurité hors site, et ce, afin de garantir que les fichiers puissent être récupérés en cas de chiffrement des fichiers.
Une nouvelle forme de malware POS (Point of Service), appelée MajikPOS, a récemment été découverte par des chercheurs en sécurité chez Trend Micro. Le nouveau malware a été utilisé dans des attaques ciblées contre des entreprises aux États-Unis, au Canada et en Australie.
Les chercheurs ont identifié les malwares MajikPOS pour la première fois fin janvier, alors qu’ils avaient déjà été utilisés dans de nombreuses attaques contre des détaillants. Une enquête plus poussée a révélé que ces attaques avaient été menées depuis août 2016.
Les malwares MajikPOS ont une conception modulaire et ont été écrits en .NET, un cadre logiciel commun utilisé pour les malwares POS. La conception des malwares MajikPOS prend en charge un certain nombre de fonctions qui peuvent être utilisées pour recueillir des informations sur les réseaux et identifier les systèmes de points de vente et autres ordinateurs qui traitent les données financières.
Les attaquants infectent les ordinateurs en exploitant de faibles informations d’identification. Des attaques brutales sont menées sur les ports VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol) ouverts.
Diverses techniques peuvent être utilisées pour installer les malwares MajikPOS et échapper à la détection, en s’appuyant dans certains cas sur les RAT ayant déjà été installés sur les systèmes des détaillants. Le malware comprend un composant de raclage de RAM pour identifier les données de carte de crédit et utilise un canal crypté pour communiquer avec son C&C et exfiltrer les données non détectées.
Les malwares MajikPOS sont utilisés par une organisation cybercriminelle bien organisée et le vol des détails des cartes de crédit sont à grande échelle. Ces informations sont ensuite vendues sur des « dump shops » sur le darknet. Les numéros de cartes de crédit volées, que les chercheurs estiment à au moins 23 400, sont vendus entre 9 et 39 $ l’unité, ou par lots de 25, 50 ou 100$. La majorité de ces cartes appartiennent à des particuliers aux États-Unis ou au Canada.
Les infections de malwares dans les systèmes de points de vente peuvent être dévastatrices
Un certain nombre de vecteurs d’attaque différents peuvent être utilisés pour installer des malwares dans les points de vente. Ils peuvent s’installer lorsque des employés tombent dans le piège des e-mails de spear phishing. Les cybercriminels prennent souvent pied dans les réseaux de détaillants parce que les employés divulguent des informations d’identification lorsqu’ils répondent à des e-mails de phishing.
Les attaques via des kits d’exploitation ont diminué ces derniers mois. Cependant, la menace n’a pas disparu et les campagnes de publicité malveillantes et les liens malveillants envoyés par e-mail sont toujours utilisés dans les attaques ciblées contre les détaillants américains.
Les attaques par force brute sont également fréquentes, ce qui souligne l’importance de modifier les informations d’identification par défaut et de définir des mots de passe forts.
Les infections de malwares dans les systèmes de points de vente peuvent s’avérer incroyablement coûteuses pour les détaillants. Il suffit de demander à Home Depot, un grand détaillant pour lequel une infection par un malware de son système de point de vente a coûté plus de 179 millions de dollars. Le coût de l’atteinte à la sécurité continue d’augmenter, et ce chiffre ne tient pas compte de la perte d’activité résultant de l’infraction. En effet, suite à cette attaque de malwares POS en 2014, les consommateurs ont décidé d’acheter ailleurs que dans leur entourage.
Cette dernière menace devrait servir d’avertissement à tous les détaillants.
Les vulnérabilités en matière de sécurité peuvent être exploitées par les cybercriminels. Si des protections inadéquates ne sont pas mises en place pour protéger les données des consommateurs, ce ne sera qu’une question de temps avant que vos systèmes ne soient attaqués.
