En novembre 2018, le district scolaire de Rockingham, en Caroline du Nord, a été victime d’une infection par le malware Emotet, dont la résolution a coûté 218 000 euros.
Le malware a d’abord été signalé comme utilisant des spams.
Des messages indésirables ont été envoyés dans les boîtes de réception de plusieurs utilisateurs pour les inciter à installer des malwares. Il s’agit d’une technique souvent utilisée par les pirates informatiques pour lancer leurs attaques.
Les e-mails semblaient avoir été diffusés par le fournisseur d’antivirus utilisé par le district scolaire, avec comme objet « Facture incorrecte » et la facture correcte envoyée en pièce jointe.
Les e-mails étaient crédibles et ressemblaient à de nombreux autres e-mails légitimes reçus quotidiennement par les utilisateurs du district scolaire.
Ils demandaient à leurs destinataires d’ouvrir et de vérifier la facture jointe. Cependant, en faisant cela, ils permettent le téléchargement et l’installation d’un malware sur leurs appareils informatiques.
Peu de temps après la réception et l’ouverture de ces e-mails, le personnel du district a commencé à rencontrer des problèmes. L’accès à Internet semblait avoir été désactivé pour certains utilisateurs. Des rapports de Google indiquaient également que des comptes de messagerie avaient été désactivés en raison des messages de spams qu’ils ont reçus.
Le district scolaire s’est penché sur la question et avait découvert que plusieurs de ses appareils et serveurs avaient déjà été infectés par des malwares.
Le malware Emotet est un ver qui peut se partager sur un réseau. L’infection d’une machine entraîne l’envoi du virus vers d’autres appareils vulnérables. Le ver laisse un type de malware bancaire sur les appareils infectés, lequel est ensuite utilisé pour voler les informations d’identification des victimes, y compris leurs coordonnées bancaires en ligne.
Emotet est une variante de malware très avancée qui est difficile à repérer et à combattre. Le district scolaire de Rockingham a découvert à quel point les infections par les malwares Emotet peuvent être gênantes lorsque des tentatives ont été faites pour supprimer le ver.
Le district scolaire a réussi à nettoyer certaines machines infectées en réinstallant leurs systèmes d’exploitation, mais ceci n’était pas suffisant car le malware pouvait encore réinfecter ces appareils.
La lutte contre l’attaque a nécessité l’aide d’experts en sécurité. Dix ingénieurs de ProLogic ITS ont passé environ 1 200 heures sur place à réinstaller les machines. 12 serveurs et environ 3 000 points d’extrémité ont dû être restaurés pour supprimer le malware et arrêter la réinfection. Le coût du nettoyage s’est élevé à 218 000 euros.
Des attaques de ce type sont loin d’être inhabituelles. Les cybercriminels se concentrent sur un large éventail de vulnérabilités pour installer des malwares sur les ordinateurs et les serveurs des entreprises.
Pour notre cas, ils ont profité des lacunes dans les défenses de messagerie électronique du district scolaire et du manque de sensibilisation des membres du personnel à la sécurité.
De même, les malwares pouvaient être téléchargés en exploitant des failles non corrigées dans les logiciels, ou par des téléchargements en mode « drive-by » (une technique permettant l’installation automatique d’un logiciel malveillant suite à la consultation d’un e-mail ou d’un site web malveillant).
Pour se prémunir contre Emotet, les malwares et autres virus et vers, des défenses par couches sont nécessaires.
Une solution avancée de filtrage du spam peut garantir que les e-mails malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux.
Les systèmes de détection des points d’accès peuvent détecter les comportements inhabituels des utilisateurs.
Des solutions antivirus peuvent être mises en place pour découvrir et arrêter les infections.
Il est nécessaire d’utiliser des filtres web pour bloquer les attaques basées sur le web et les téléchargements en mode « drive-by ».
Bien entendu, les utilisateurs finaux constituent la dernière ligne de défense et il convient donc de leur apprendre à reconnaître les e-mails et les sites web malveillants.
Seule une combinaison de ces mesures et d’autres mesures de cybersécurité pourra garantir la sécurité de votre organisation face aux menaces en ligne.
Face à la pandémie du COVID-19, les pirates informatiques n’hésitent pas à adapter leurs campagnes de phishing et leurs malwares en fonction des événements mondiaux et régionaux.
Ils utilisent de nouveaux appâts dans le but de maximiser les chances de succès de leurs attaques.
Au début de la pandémie, les connaissances sur le SRAS-CoV-2 et le COVID-19 étaient très limitées. L’inquiétude du public était énorme et les pirates ont utilisé cette situation à leur avantage.
Les pirates derrière TrickBot, l’une des plus dangereuses menaces de malware, modifient régulièrement leurs appâts en réponse à des événements dignes d’intérêt. Ceci, afin d’augmenter la probabilité que leurs victimes cliquent sur les e-mails et pièces jointes malveillants.
En effet, les pirates derrière TrickBot ont utilisé le COVID-19 et d’autres leurres qui sont liés au coronavirus lorsque le virus a commencé à se propager à l’échelle mondiale et lorsque les gens ont de plus en plus besoin d’avoir des informations sur le virus.
On comprend donc bien pourquoi les pirates informatiques derrière TrickBot ont adopté un nouveau leurre lié à « Black Lives Matter ».
En réalité, d’énormes manifestations ont eu lieu aux États-Unis après la mort de George Floyd des mains d’un policier, et ces manifestations se sont répandues dans le monde entier.
Dans de nombreux pays, les gros titres ont fait état de protestations et de contre-manifestations liées à « Black Lives Matter ». Les pirates n’ont pas tardé à profiter des sentiments du public pour mener leurs attaques.
La dernière campagne de TrickBot avait pour objet « Laissez un commentaire confidentiel sur Black Lives Matter ». Elle a été conçue pour attirer l’attention des personnes qui sont pour et contre les protestations. Les e-mails comprenaient une pièce jointe en format Word appelée e-vote_form_3438.doc, bien que plusieurs variations sur ce thème soient possibles.
Les messages électroniques demandaient aux utilisateurs d’ouvrir et de remplir un formulaire joint à l’e-mail pour qu’ils y déposent leurs commentaires anonymes. Le document Word comporte une macro que les utilisateurs sont invités à activer pour permettre de fournir leurs commentaires.
Cette opération déclenche la macro qui installe une DLL malveillante et qui implique le téléchargement et l’installation du cheval de Troie TrickBot.
TrickBot est un cheval de Troie bancaire, mais il est modulaire et fréquemment mis à jour avec de nouvelles fonctions. Le malware rassemble une série d’informations sensibles. Il peut exfiltrer des fichiers, se déplacer latéralement et installer d’autres variantes de malwares.
TrickBot a été largement utilisé pour installer le ransomware Ryuk comme charge utile secondaire une fois que les pirates informatiques atteignent leurs objectifs.
Les leurres qui ont été mis en œuvre dans le cadre d’une attaque de phishing et les e-mails malveillants changent fréquemment, mais en général, les messages distribuent les mêmes menaces.
Pour contrer ces attaques, il est essentiel de former vos employés sur la sécurité web. Cela peut contribuer à éviter les menaces de phishing et permettre aux employés de traiter les e-mails non sollicités. En sensibilisant vos employés aux dernières tactiques, procédures et techniques d’ingénierie sociale utilisées pour diffuser des malwares, vous pouvez les aider à repérer les menaces qui arrivent dans leur boîte de réception.
Quelle que soit l’astuce que les pirates utilisent pour amener les utilisateurs à ouvrir un e-mail non sollicité ou à cliquer sur lien malveillant, la meilleure mesure de sécurité consiste à s’assurer que vos défenses techniques sont à la hauteur et que les malwares et les scripts malveillants sont repérés, comme tels. Ils doivent être bloqués et ne doivent jamais atterrir dans les boîtes de réception des utilisateurs finaux. C’est un domaine dans lequel TitanHQ peut vous aider.
SpamTitan Cloud est une solution solide de sécurité de la messagerie électronique qui offre une protection contre toutes les attaques cybercriminelles. Un double moteur antivirus peut prévenir toutes les menaces de malwares connues, tandis que les technologies prédictives et le sandboxing fournissent une protection contre les malwares de type « zero day » et les attaques de phishing. Quel que soit le système des e-mails que vous déployez, SpamTitan ajoute une couche de sécurité supplémentaire vitale pour bloquer les menaces avant qu’elles n’arrivent dans les boîtes de réception de vos employés.
Pour plus d’informations sur la façon dont vous pouvez renforcer la protection et bloquer les menaces de phishing, de spear phishing, d’usurpation d’identité par e-mail, de malwares et de ransomwares, appelez l’équipe de TitanHQ dès aujourd’hui.
Un nouveau module tente de compromettre les comptes de bureau à distance afin d’accéder aux ressources des entreprises. En réalité, le malware TrickBot a ajouté une nouvelle fonctionnalité, un module appelé rdpScanDll, conçu pour forcer les comptes RDP (REMOTE DESKTOP PROTOCOL).
Selon BitDefender, ce module a déjà été utilisé dans plusieurs campagnes qui ciblent plusieurs secteurs comme la télécommunication, la finance, l’éducation, notamment à Hong Kong et aux États-Unis.
Le protocole RDP de Microsoft permet l’accès à distance à un autre serveur ou ordinateur. Il est souvent utilisé par les équipes techniques pour le service de dépannage ou par les travailleurs distants.
Qui est TrickBot ?
TrickBot, également connu sous le nom de TrickLoader, est un cheval de Troie bancaire complexe qui a été identifié pour la première fois en 2016. Il s’agit d’une plate-forme de distribution de longue date pour des développeurs de ransomware comme Ryuk. TrickBot reste une menace importante malgré le démantèlement de ses serveurs.
Selon Microsoft, ce cheval de Troie a infecté plus d’un million d’appareils informatiques dans le monde depuis fin 2016. Bien que l’identité exacte des escrocs derrière ce malware soit inconnue, les recherches suggèrent qu’il pourrait s’agir d’États-nations et de réseaux criminels ayant des objectifs variés.
Le malware a évolué pour envoyer des spams aux listes d’emails des victimes ; pour adopter de nouvelles méthodes d’évasion de détection et pour servir de moyen de distribution d’autres malwares tel qu’Emotet. Plus récemment, les pirates informatiques à l’origine du malware ont modifié leurs méthodes de lutte contre la détection.
TrickBot n’était au départ qu’un simple voleur d’informations dédié au vol des identifiants bancaires en ligne et à l’utilisation des sessions de navigation en vue d’effectuer des transferts frauduleux directement à partir des dispositifs des victimes. Il a massivement évolué au cours des quatre dernières années, et plusieurs modules ont été ajoutés, fournissant une foule d’autres fonctionnalités malveillantes.
Il est considéré comme le successeur du cheval de Troie Dyreza, lui-même issu de l’opération GameOver Zeus et du groupe cybercriminel Business Club qui en est à l’origine.
L’essor des chevaux de Troie bancaires au cours de la dernière décennie a donné naissance au modèle de logiciel criminel en tant que service qui alimente l’économie cybercriminelle actuelle. Le malware TrickBot est un excellent exemple de cette évolution.
Ce sont les chercheurs de la société antivirus ESET qui ont suivi ce malware depuis ses débuts. Ils ont vu plus de 28 plug-ins différents conçus pour lui. Rien qu’en 2020, les chercheurs d’ESET ont analysé plus de 125 000 échantillons malveillants. Ils ont également téléchargé et déchiffré plus de 40 000 fichiers de configuration utilisés par les différents modules du malware.
Comment TrickBot est-t-il distribué ?
En général, les campagnes TrickBot commencent par l’envoi d’e-mails malveillants contenant des pièces jointes Microsoft Office qui permettent de télécharger la charge utile principale. Ces messages utilisent des thèmes communs, comme des factures ou des notifications liées à une activité professionnelle particulière.
Traditionnellement, les attaques de TrickBot ciblaient des victimes en Amérique du Nord et en Europe. Les cibles étaient généralement des particuliers et des organisations dans le monde entier dans de multiples secteurs. Ces attaques auraient permis aux pirates d’infecter plus d’un million de dispositifs depuis leur découverte.
Symptômes
L’utilisateur du dispositif ciblé ne remarquera aucun symptôme d’une infection par le malware. Par contre, un administrateur réseau pourrait constater des changements dans le trafic ou des tentatives d’atteindre des IP et des domaines qui figurent sur une liste noire, car TrickBot communiquera avec son infrastructure de commande et de contrôle pour exfiltrer des données et recevoir des tâches. Le malware peut gagner en persistance en créant une tâche programmée.
Même si, en général, TrickBot se propage via des campagnes de spam et se propager latéralement en utilisant l’exploit EternalBlue, il peut aussi utiliser d’autres méthodes. Il peut par exemple utiliser des URL intégrées et des pièces jointes infectées. Le cheval de Troie peut également utiliser Emotet pour mener une infection secondaire.
Conséquences
En raison de la manière dont le malware utilise la vulnérabilité EternalBlue pour se propager sur votre réseau d’entreprise, toute machine infectée sur votre réseau peut réinfecter les machines ayant été précédemment nettoyées lorsqu’elles se connecteront de nouveau au réseau.
Pour éviter la propagation de ce cheval de Troie, les équipes informatiques doivent isoler le réseau et les dispositifs ; appliquer les mises à jour dès qu’elles sont disponibles et réparer chaque dispositif infecté, un par un.
Le problème est que ce processus est long et fastidieux.
Pour éliminer le malware, il faut par exemple suivre les étapes suivantes :
Identifier la ou les machines infectées ;
Déconnecter les machines infectées du réseau ;
Appliquer un correctif pour éviter l’infection par EternalBlue ;
Désactiver les partages administratifs ;
Supprimer TrickBot ;
Modifier les informations d’identification du compte ;
Etc.
Les capacités de vol d’informations de TrickBot ont été considérablement améliorées
En plus des références bancaires, il peut désormais voler des données de systèmes et de réseaux, des identifiants des comptes de messagerie électronique, des données fiscales et de la propriété intellectuelle. TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau en utilisant d’authentiques utilitaires Windows et le kit d’exploitation EternalRomance pour la vulnérabilité SMBv1.
Le malware peut également créer une porte dérobée pour un accès persistant et faire office d’installateur de malwares. En outre, il peut télécharger d’autres charges utiles malveillantes, comme le ransomware Ryuk.
Le cheval de Troie est souvent mis à jour et de nouvelles variantes apparaissent régulièrement. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une étude de Bitdefender, plus de 100 nouvelles adresses IP sont ajoutées à son infrastructure C&C chaque mois, chacun ayant une durée de vie d’environ 16 jours.
Le malware et son infrastructure sont très complexes et, bien que des mesures aient été prises pour démanteler l’opération, les pirates informatiques parviennent à garder une longueur d’avance.
TrickBot est principalement partagé par le biais de spams via le réseau de botnets Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot, et l’infection par TrickBot entraîne l’ajout d’un ordinateur au réseau de botnets Emotet.
Une fois que toutes les données utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs du ransomware Ryuk, leur donnant ainsi l’accès au mot de passe du réseau de la victime.
Un examen récent d’une variante capturée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à son arsenal. Le cheval de Troie dispose maintenant d’un module pour les attaques par la force brute sur les connexions RDP (Remote Desktop Connexion).
Ces attaques sont principalement menées contre des organisations intervenant dans les secteurs financiers, de l’éducation et des télécommunications. Elles visent actuellement les organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques se répandent région par région au cours des prochaines semaines. Elles sont menées pour voler la propriété intellectuelle et les données financières.
TrickBot peut désactiver Windows Defender
Selon Bleeping Computer, TrickBot ne cesse d’évoluer et de cibler les logiciels de sécurité. Il a par exemple jeté son dévolu sur Windows Defender qui est un produit antimalware du système d’exploitation Microsoft Windows.
Outre le fait de cibler les banques internationales, TrickBot peut récolter des emails, des informations d’identification, etc., et voler des portefeuilles de cryptomonnaies.
La version la plus récente du malware ne se contente plus de cibler et d’éluder un réseau particulier, mais aussi de désactiver la protection de Windows Defender.
Selon encore Bleeping Computer, les pirates derrière TrickBot ont ajouté une douzaine de fonctionnalités à son arsenal d’attaque. Les méthodes utilisées incluent les paramètres de registre et de commande PowerShell Set-MpPreference, ce qui permet aux escrocs de définir les préférences de Windows Defender.
Le processus de désactivation de TrickBot
Une fois que TrickBot est exécuté sur un dispositif, il démarre un chargeur qui a pour rôle de préparer le système. Pour ce faire, le malware désactive les services Windows associés aux logiciels de sécurité en vue d’obtenir des privilèges système plus élevés. Ceci étant fait, il charge le composant central grâce à l’injection d’une DLL. Celui-ci va à son tour télécharger les modules qui permettront de voler les informations ciblées.
Avant cette version, le chargeur TrickBot ne pouvait qu’effectuer un ciblage basique de Windows Defender, comme la désactivation du service WinDefend, l’arrêt des processus liés à Windows Defender, la désactivation des notifications de sécurité et la protection en temps réel. Mais les développeurs de TrickBot ont ajouté d’autres étapes qui leur ont permis d’empêcher Windows Defender de protéger les utilisateurs contre ce malware.
TrickBot est un cheval de Troie modulaire
Cela signifie qu’il peut toujours être mis à jour avec de nouvelles fonctionnalités.
Parmi les modules utilisés par TrickBot, on peut citer aDll qui vole la base de données Active Directory (AD) ; cookiesDll qui vole les données des cookies des navigateurs Web ; MailClient qui vole les données des clients de messagerie Web et mailsearcher qui recherche des fichiers d’un type spécifique.
Résumé
TrickBot est :
Distribué par la fonction Malware-as-a-Service d’Emotet dans le cadre d’une infection secondaire ;
Indétectable par l’utilisateur et gagne en persistance grâce à la création d’une tâche programmée ;
Profite des redirections ouvertes et des injections côté serveur dans le but de voler les informations de connexion de la session de l’utilisateur ciblé ;
Vole les données de l’utilisateur (état de connexion, préférences du site Web, contenus personnalisés, etc.) ;
Vole les informations d’identification des applications de bureau à distance, les informations d’identification du navigateur Internet et les informations d’identification du courrier électronique ;
Vole les données informatiques comme les informations sur le système d’exploitation, les comptes d’utilisateurs, les programmes installés, les services installés, etc.
Désactive Windows Defender et diminue la sécurité des dispositifs infectés.
L’évolution constante du malware et son succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en pratiquant une bonne cyberhygiène.
Le spam reste le principal mode de diffusion du cheval de Troie Emotet et de TrickBot, c’est pourquoi un filtre antispam avancé est indispensable. Comme de nouvelles variantes apparaissent constamment, les méthodes de détection basées sur les signatures ne suffisent pas à elles seules.
SpamTitan intègre un sandbox alimenté par Bitdefender pour analyser les pièces jointes suspectes des e-mails afin de détecter les activités malveillantes. Cela permet d’identifier l’activité malveillante de toute nouvelle variante de malware et de mettre les e-mails malveillants en quarantaine avant qu’ils ne puissent causer des dommages.
Si vous n’avez pas besoin du RDP, assurez-vous qu’il est désactivé. Dans le cas contraire, assurez-vous que l’accès est restreint et que des mots de passe forts sont établis.
Utilisez le système de blocage en raison d’actions à fréquence trop élevée (rate restricting) pour bloquer les tentatives de connexion après un nombre déterminé d’échecs. Enfin, assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants de connexion volés.
Pour plus de détails sur SpamTitan Email Security et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe du TitanHQ dès maintenant.
La pandémie du COVID-19 a donné aux cybercriminels une occasion en or de gagner de l’argent.
Alors que le monde ne se concentre que sur la réponse à la pandémie et que les gens sont avides d’informations sur le virus, il n’est pas surprenant que les leurres de phishing standard aient été abandonnés au profit des leurres se rapportant au sujet de la pandémie.
Les noms de domaine thématiques liés au COVID-19 et au coronavirus ont été achetés par dizaines de milliers et sont utilisés pour le phishing, la distribution de malwares et diverses escroqueries telles que l’obtention de dons de la part de fausses organisations caritatives.
Les chiffres publiés par l’équipe de l’unité 42 des réseaux de Palo Alto pour la période de février à mars montrent qu’il y a eu une augmentation quotidienne moyenne de 656 % des nouveaux domaines liés au COVID-19, une augmentation de 569 % du nombre de domaines malveillants liés à la pandémie et une augmentation de 788 % des nouveaux domaines à haut risque.
Plusieurs bureaux d’enregistrement de noms de domaines ont commencé à prendre des mesures pour lutter contre le coronavirus et les fraudes liées au COVID-19.
Certains d’entre eux, comme Namecheap, empêchent désormais l’enregistrement de nouveaux domaines liés à la pandémie. Les bureaux d’enregistrement de domaines signalent ces nouveaux domaines pour enquête, mais il s’agit d’un processus d’examen manuel qui prend du temps.
En attendant, les noms de domaines peuvent être utilisés pour lancer des escroqueries convaincantes.
Une campagne malveillante découverte ces derniers jours utilise les noms de domaines liés au COVID-19 pour distribuer le cheval de Troie bancaire Grandoreiro.
Les sites web sont utilisés pour héberger des vidéos qui promettent de fournir des informations importantes sur le SRAS-CoV-2 et le COVID-19. Lorsque les visiteurs cliquent sur la vidéo, ils déclenchent le téléchargement d’un fichier et doivent lancer le programme d’installation pour voir le contenu de la vidéo.
Pourtant, ils installent Grandoreiro. Le cheval de Troie bancaire était auparavant diffusé via les spams, mais le groupe de menace à l’origine de ce malware a changé de tactique en réponse à la pandémie et est passé à la diffusion sur le web.
De nombreuses campagnes similaires ont été créées à l’aide de noms de domaine malveillants liés au COVID-19 pour diffuser une multitude de variantes de malwares tels que les enregistreurs de frappe, les voleurs d’informations, les cryptocurrences et autres chevaux de Troie.
Le confinement a laissé beaucoup de temps libre aux gens et les activités de plein air ont été laissées pour donner la place au visionnage des films. Il n’est pas surprenant que les sites de piratage de films aient connu une forte augmentation et que les distributeurs de malwares en profitent pour regrouper des malwares avec des fichiers vidéo piratés et utiliser de faux torrents de films pour diffuser des malwares.
Une enquête menée par Microsoft a identifié une campagne utilisant un VBScript sous un format ZIP qui contient de films piratés.
La campagne était menée pour livrer le malware CoinMiner qui s’exécute dans la mémoire de l’appareil utilisé, ainsi qu’une attaque du type « Living off the Land (LotL) » qui permet aux pirates de télécharger d’autres charges utiles malveillantes.
Ces campagnes comportent souvent une composante de phishing, avec des e-mails envoyés pour diriger le trafic vers des sites web malveillants.
Une solution avancée de filtrage du spam peut aider à bloquer ces campagnes, mais les entreprises devraient également envisager d’ajouter une couche supplémentaire à leurs défenses de sécurité pour pouvoir les bloquer et pour empêcher leurs employés distants de visiter des noms de domaines malveillants liés au COVID-19.
Cette protection peut être assurée par une solution de filtrage DNS telle que WebTitan Cloud.
WebTitan Cloud filtre les sites web malveillants au stade de la recherche DNS lors d’une demande d’accès à un nom de domaine.
Lorsqu’un utilisateur tente de visiter un site web, au lieu d’utiliser le processus standard d’utilisation du DNS pour trouver son adresse IP, la demande est envoyée par WebTitan. Si le site demandé contient un nom de domaine malveillant, la demande sera bloquée et l’utilisateur sera dirigé vers une page locale de blocage.
WebTitan peut également être configuré pour bloquer certains téléchargements de fichiers et filtrer les sites web par catégorie, comme le blocage des sites de partage de fichiers P2P et de torrents.
Ceci, afin de fournir une protection supplémentaire contre les malwares et l’utilisation de technologies matérielles et logicielles par les employés et qui ne sont pas pris en charge par le service informatique central de l’entreprise.
WebTitan Cloud peut être rapidement configuré à distance par les administrateurs système pour protéger tous les travailleurs sur et hors du réseau sans avoir besoin d’ajouter du matériel supplémentaire, ce qui en fait de lui une solution idéale pour protéger les travailleurs à distance pendant la pandémie du COVID-19.
Pour plus d’informations sur la protection de votre organisation et de vos employés distants contre les attaques sur le web, pour vous inscrire à un essai gratuit de WebTitan et pour connaître les tarifs, appelez l’équipe de TitanHQ dès aujourd’hui.
Une crise nationale ou mondiale offre aux gens la possibilité de se regrouper et de faire de grandes choses.
Malheureusement, la triste vérité est qu’elle crée également des opportunités pour des motifs malveillants. Elle fait l’objet du meilleur et du pire des comportements humains.
Alors que l’industrie des soins de santé est plongée dans une guerre acharnée avec un virus mortel, les fournisseurs de soins de santé ont, sans le savoir, une cible sur le dos.
Selon le FBI, les pirates informatiques utilisent divers mécanismes d’attaque pour cibler activement les fournisseurs de soins de santé et toute personne essayant d’acheter des fournitures médicales liées à COVID-19.
Le FBI publie une série d’avertissements concernant Kwampirs
Une souche de cheval de Troie d’accès à distance (RAT) appelée Kwampirs, appartenant à un groupe de piratage connu appelé OrangeWorm, a été identifiée. C’est l’un des mécanismes malveillants utilisés pour infiltrer les entreprises de santé transnationales et les hôpitaux locaux.
D’autres entreprises fournissant des logiciels, des produits pharmaceutiques, de l’énergie, de l’imagerie médicale et celles intervenant dans la finance sont également ciblées par cette menace. Mais les attaques contre les fournisseurs de soin de santé sont les plus pertinentes à l’heure actuelle.
Le FBI a indiqué que le groupe de piratage derrière Kwampirs a déjà mené des attaques réussies contre des hôpitaux et des systèmes de santé, obtenant ainsi l’accès à leurs réseaux.
Le FBI a publié une notification à l’industrie privée, avertissant que le malware Kwampirs est utilisé dans les cyberattaques de la chaîne d’approvisionnement dans le but de cibler certaines industries, y compris les fournisseurs de soins de santé.
C’est la troisième alerte de ce type qui a été lancée cette année. Symantec a commencé à faire des rapports sur le Kwampirs il y a un an. Le RAT a été associé à des attaques lancées non seulement aux États-Unis, mais aussi en Europe, en Asie et au Moyen-Orient. Quant au groupe de piratage OrangeWorm, il existe depuis 2015.
La stratégie d’attaque de Kwampirs
La stratégie d’attaque de Kwampirs est de cibler les fournisseurs de la chaîne d’approvisionnement tels que les fournisseurs qui desservent une industrie particulière. C’est par exemple le cas des industries fournissant des logiciels de systèmes de contrôle industriel dans les hôpitaux.
Le malware peut affecter une machine par le biais d’une mise à jour logicielle provenant d’un fournisseur de confiance. L’une de ses caractéristiques est sa structure modulaire. Ceci lui permet d’infecter les machines Windows, sur lesquelles il déterminera ensuite si le système appartient à au réseau ciblé par les pirates.
Une fois que le réseau ciblé est infiltré, le malware chargera alors les modules appropriés en fonction de son environnement hôte. Il peut ensuite être utilisé par son maître pour lancer des charges utiles supplémentaires en fonction des objectifs de l’attaque.
Le logiciel malveillant recherche des « données d’intérêt » et se propage à d’autres systèmes machines par le biais des partages réseau ouverts, des partages administratifs cachés ou du protocole SMB. Les attaquants commencent alors à rechercher des moyens d’infecter les machines connectées au réseau infecté.
Espionnage avec des chevaux de Troie type Kwampirs
Contrairement aux types de malwares les plus répandus, tels que les ransomwares, Kwampirs est un infiltrateur silencieux, car il n’endommage ou ne modifie aucune donnée.
Bien que les motivations de l’attaque puissent être financières, son objectif premier est l’espionnage d’entreprise.
OrangeWorm ne cherche pas à lancer une attaque de type « hit and run » rapide. Le groupe essaye de rester longtemps connecté au réseau ciblé en tant qu’observateur jusqu’à ce que le moment soit propice pour lancer une attaque.
Par conséquent, Kwampirs est conçu pour ne pas attirer l’attention sur lui, mais pour résider discrètement au sein d’un réseau, communiquant avec ses maîtres au quotidien. Si nécessaire, il peut permettre des activités de suivi de l’exploitation informatique.
Il n’est pas rare que les Kwampirs résident sur un réseau pendant plusieurs années. Pour ce faire, il se propage notamment par le biais de fusions et d’acquisitions (c’est l’une des raisons pour lesquelles il est important de réaliser un audit de sécurité avant les activités de fusion et d’acquisition).
Comment combattre Kwampirs ?
Même si elle est de nature silencieuse et non dérangeante, il y a quelques empreintes subtiles qui vous permettent d’identifier la présence de Kwampirs.
Vérifiez si de nouveaux services ou processus font soudainement leur apparition dans votre réseau. Recherchez également les nouveaux fichiers qui apparaissent soudainement dans les dossiers ou partages système. Et comme pour l’instant, il n’existe aucun modèle permettant de détecter efficacement ce type de RAT, la meilleure chose à faire est de réaliser un audit.
Les logiciels antivirus sont capables de détecter et de bloquer les anciennes versions de Kwampirs, mais ils ne doivent pas être considérés comme un remède exclusif.
La meilleure défense est une défense en profondeur ou une stratégie multicouche qui intègre un certain nombre d’outils de cybersécurité pour protéger l’entreprise contre ce type d’attaque, et bien d’autres.
Il s’agit notamment d’un pare-feu de nouvelle génération, d’un système de sécurisation de la messagerie électronique et d’une solution de filtrage web.
Les solutions basées dans le cloud sont un moyen privilégié de sécuriser vos actifs sur place et les employés qui doivent désormais travailler à distance en raison de la crise du COVID-19. Notre solution de filtrage de la messagerie électronique SpamTitan et notre solution de filtrage web WebTitan sont parfaitement adaptées aux défis actuels.
Comment TitanHQ peut-il vous aider ?
Plusieurs entreprises de formation à la sensibilisation à la sécurité proposent gratuitement des ressources aux entreprises pendant la crise COVID-19 pour les aider à former leurs employés, comme le SANS Institute. Profitez de ces ressources et diffusez-les auprès de vos collaborateurs.
Si vous avez une PME, vous pouvez également avoir accès à des e-mails gratuits de simulation de phishing pour tester la capacité de vos employés à identifier et contrer les menaces web.
Bien entendu, TitanHQ ne peut pas vous aider dans votre formation de sensibilisation à la cybersécurité, mais nous pouvons vous aider à minimiser les risques de cyberattaques en protégeant vos employés contre les menaces lancées via la messagerie électronique et le web.
Vous voulez avoir plus d’informations sur la protection de votre entreprise pendant la crise COVID-19 ? Vous voulez bénéficier d’une démonstration de la solution sécurité de la messagerie électronique de SpamTitan et/ou de la solution de sécurité web de WebTitan ? Vous voulez vous inscrire à un essai gratuit de l’une ou l’autre solution afin de commencer à vous protéger instantanément contre les menaces de la messagerie électronique et du web ? Contactez l’équipe de TitanHQ dès aujourd’hui.
Une énorme campagne de distribution du cheval de Troie Dofoil a été découverte par Microsoft. Cette campagne a permis aux pirates d’infecter près d’un demi-million de PC en moins de 12 heures.
Le cheval de Troie Dofoil est également appelé Smoke Loader, lequel est utilisé pour propager une variété d’autres virus depuis de nombreuses années.
Il s’agit d’une petite application qui, une fois téléchargée sur un PC, peut télécharger d’autres formes de malwares. Le cheval de Troie Dofoil a été utilisé dans de nombreuses campagnes depuis au moins 2011 pour télécharger des malwares, la dernière campagne ayant servi à installer un malware d’extraction de cryptomonnaies.
Le cheval de Troie a été signalé pour la première fois le 6 mars dernier, lorsque Windows Defender a découvert près de 80 000 cas d’infection sur des PC. Ce nombre a augmenté rapidement pour atteindre plus de 400 000 dans les 12 heures suivantes.
Plusieurs souches du cheval de Troie Dofoil étaient utilisées dans le cadre de la campagne qui se concentrait principalement sur d’autres dispositifs situés en Russie, en Ukraine et en Turquie.
Le malware a été déployé pour extraire des pièces en électroneum sur les appareils infectés, bien qu’il puisse extraire d’autres types de cryptomonnaies.
La détection de ce type de malware peut être délicate, car il utilise un processus lui permettant de créer une nouvelle instance d’un processus Windows authentique à des fins malveillantes.
Pour notre cas, il a été masqué sous la forme d’un fichier binaire Windows pour éviter la détection (wuauclt.exe). Explorer.exe a été utilisé pour établir une copie du malware dans le dossier Roaming AppData qui a alors été rebaptisé ditereah.exe.
Le registre de Windows était également modifié pour assurer la persistance de l’infection, en changeant une entrée existante pour la pointer vers la copie du malware. Par la suite, le malware a communiqué avec son serveur C2 et téléchargé des variantes supplémentaires de malwares sur l’appareil infecté.
Microsoft a été en mesure de repérer les infections.
Pourtant, ce qu’on ignore pour l’instant, c’est comment le malware a été téléchargé sur un très grand nombre d’appareils en une très courte période. Bien que le malware ait pu être diffusé via des spams, un autre moyen de distribution est suspecté.
Microsoft a noté que dans de nombreux cas, il aurait été partagé à l’aide de fichiers torrents qui sont utilisés dans le partage de fichiers P2P, souvent pour obtenir des films, de la musique et des logiciels piratés.
Microsoft n’a fait connaître que le nombre d’infections qu’elle a détectées à l’aide de Windows Defender. Et comme la marque n’a pas de visibilité sur les appareils sur lesquels son logiciel antimalware n’est pas installé, le nombre total d’infections risque donc d’être beaucoup plus élevé. Les quelques 400 000 infections ne sont probablement qu’un début.
Microsoft note que ses tentatives pour perturber le fonctionnement du malware ont fait plus qu’empêcher les appareils d’exploiter les cryptomonnaies.
Elles devraient aussi empêcher les pirates d’installer un nombre illimité de charges utiles malveillantes supplémentaires par le biais du cheval de Troie Dofoil, y compris les variantes de malwares et de ransomwares les plus dangereuses.
