Ransomware : 5 choses à savoir pour ne pas se faire dépouiller par un hackeur

PIRATAGE – Alors que les attaques de logiciels malveillants de type ransomware sont en augmentation depuis le début de l’année, metronews a interrogé Laurent Heslault, directeur des stratégies de sécurité de Symantec France.

C’est la dernière maraude à la mode chez les hackeurs. Le principe ? Infiltrer le système informatique d’un internaute par le biais d’un logiciel malveillant, un « ransomware », avant d’en prendre le contrôle et de réclamer une rançon. Le nombre de victimes de ces attaques, qui touchent aussi bien les entreprises que les particuliers, ne cesse d’augmenter.

En France, depuis déjà plusieurs semaines, ce logiciel malveillant baptisé Locky sème la zizanie parmi les abonnés de Free. Ce dernier apparaît sous la forme d’un message électronique provenant de l’opérateur téléphonique, en reprenant trait pour trait l’apparence des mails de facturation envoyés par ce dernier. Et une fois que l’utilisateur a cliqué sur la pièce jointe, le mal est déjà fait.

► En hausse de 4500%, rien qu’en 2014
« Ce type de logiciel malveillant n’est pas nouveau, relève Laurent Heslault, directeur des stratégies de sécurité de Symantec France. En Europe, il a commencé à émerger vers la fin 2013 et sa croissance est explosive : en hausse de 4500%, rien qu’en 2014. Derrière ces attaques informatiques se cachent de véritables cybercriminels, dont la seule et unique motivation est l’argent. »

Et parfois, avec des conséquences encore plus graves. En février dernier, un groupe de hackeurs réclamait pas moins de 3,4 millions de dollars à un hôpital californien après avoir pris en otage son système informatique grâce à un « ransomware ». Au bout de deux semaines, ce dernier a dû consentir au versement d’une rançon de 20.000 dollars en monnaie Bitcoin.

Quels appareils peuvent être touchés
Et si, pendant longtemps, ces attaques ont été l’apanage des PC, ce n’est plus le cas désormais. Il y a quinze jours, des experts de la société américaine de sécurité informatique Palo Alto Networks ont mis en garde contre un autre ransomware, qui avait réussi à pénétrer le système d’exploitation réputé inviolable d’Apple, attaquant des ordinateurs Mac.

Les « ransomwares » visant les mobiles sont aussi en nette progression, note de son côté Kaspersky Lab France. L’an dernier, 17% des infections de « ransonwares » auraient ciblé les smartphones Android. Jusqu’à présent, seuls les iPhone semblent épargnés. Mais sans doute plus pour très longtemps, selon des experts en sécurité informatique.

► Repérer un faux mail en un coup d’oeil
Auparavant, les hackeurs avaient l’habitude de se faire passer pour des policiers locaux, par le biais d’un mail personnalisé, indiquant à l’utilisateur avoir détecté des fichiers illégaux sur son ordinateur (mp3, films, images pédopornographiques, etc.), et ainsi le pousser à payer une amende. Dorénavant, les hackeurs utilisent une technique plus sophistiquée, explique l’expert

« Par le biais d’un (faux) mail contenant une pièce jointe, en provenance le plus souvent de EDF, d’une banque ou d’un fournisseur d’accès à Internet, ils infiltrent l’appareil de la victime via un logiciel malveillant qui, une fois installé, va chiffrer ses fichiers (photos, documents, musique), ainsi que ceux qui se trouvent sur tous les périphériques qui y sont connectés, avant de lui demander une rançon pour pouvoir les déchiffrer et les récupérer. »

► Se prémunir contre un ransomware
« Une fois que vos données sont chiffrées, il est quasi impossible de les déchiffrer, prévient Laurent Heslault. Il faut s’assurer que tous les logiciels de sa machine soient les plus à jour possible ». Le vrai soucis, poursuit l’expert, c’est que la plupart des internautes ne sauvegardent par leurs données. Et pourtant, c’est bel et bien le seul moyen de s’en préserver ». Dans l’idéal, chaque semaine.

Sur Mac, il suffit d’aller dans « Applications », puis d’utiliser l’application « Time Machine », avant de stocker les données sur un disque dur externe.
Sur PC, il faut se rendre dans le menu « Démarrer », de cliquer sur « Panneau de configuration », et ensuite sur « Système et maintenance ». Enfin, appuyez sur « Sauvegarder et restaurer ».

► Que faire lorsqu’on en est victime
Pour Laurent Heslault, « avant même d’envisager de payer les pirates pour retrouver ses fichiers, il est essentiel de porter plainte »! En parallèle, vous pouvez signaler la présence d’un logiciel malveillant n cas de message louche, faites un « copier/coller » de son contenu et envoyez-le aux services de Police Judiciaire, en vous rendant sur la plateforme Pharos.

Un ransomware inonde des millions d’utilisateurs d’Office 365

Le ransomware Cerber a su déjouer les protections d’Office 365 pour se diffuser largement auprès de ses utilisateurs. 57 % des 18 millions d’utilisateurs du service Saas ont reçu au moins un e-mail piégé.

Des millions d’utilisateurs de Microsoft Office 365, la version Saas de la suite bureautique, ont été exposés à une attaque d’un ransomware appelé Cerber au cours de la semaine dernière. Dans un billet de blog, Steven Toole, un chercheur de la société Avanan, explique avoir détecté la première attaque de ce type le 22 juin au matin. Selon lui, si on se fie aux statistiques observées sur la base de clients d’Avanan, pas moins de 57 % des utilisateurs d’Office 365 ont reçu au moins un e-mail renfermant une pièce jointe infectée. C’est l’ouverture d’une macro incluse dans cette pièce jointe qui déclenche l’infection, se traduisant par le chiffrement de données clefs des utilisateurs touchés.

Récemment, lors de ses résultats trimestriels, Microsoft a revendiqué 18,2 millions d’abonnés à son service Office 365. Selon Steven Toole, Microsoft a mis plus de 24 heures à réagir et à bloquer les e-mails renfermant les pièces jointes infectieuses.

Le ransomware échappe aux outils d’Office 365

Cerber réclame à ses victimes 1,24 bitcoin, soit environ 720 euros, pour leur restituer l’accès aux données qu’il a chiffrées. De façon originale, le ransomware avertit ses victimes de son forfait tant via un message affiché à l’écran que par la lecture d’un fichier audio.

« Cette attaque semble être une variante d’un virus détecté à l’origine sur des serveurs de mail en mars dernier, écrit Steven Toole. Cette fois, Cerber a été distribué massivement après que son auteur a pu avoir la confirmation que le virus était à même de passer au travers des outils de sécurité d’Office 365 via un compte mail privé ouvert sur ce service. » C’est cette capacité des pirates à passer au travers des capacités de détection du premier éditeur mondial qui rend ce type d’attaques redoutable. « De nombreux utilisateurs de services de messagerie dans le Cloud pensent qu’ils externalisent toute la chaîne chez Microsoft ou Google, y compris la sécurité », rappelle Gil Friedrich, le Pdg de la firme de sécurité Avanan.

En savoir plus sur http://www.silicon.fr/ransomware-inonde-utilisateurs-office-365-151503.html#4RloUIwkU0fxXlu6.99

Satana, un ransomware pire que Petya

Le nouveau rançomware Satana cumule chiffrement des fichiers et remplacement du secteur d’amorçage du disque.

Une nouvelle génération de ransomware est en train d’émerger. Satana, nom du nouveau malware, combine chiffrement des fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR. Deux techniques inspirées de Petya et Mischa, note Malewarebytes qui constate la croissance du nouvel agent satanique ces dernières semaines.

« Satana fonctionne en deux modes, note la société de sécurité sur son blog. Le premier se comporte comme Petya, un fichier exécutable (sous Windows, NDLR) [et] écrit au début du disque infecté un module de bas niveau, un bootloader avec un noyau personnalisé. Le deuxième mode se comporte comme un ransomware typique et chiffre les fichiers un par un (tout comme Mischa). » Mais à la différence que les deux modes ne sont pas exploités alternativement mais bien appliqués ensemble, l’un après l’autre, pour s’attaquer à leurs victimes.

Payer ne garantit rien chez Satana

Malwarebytes ne le précise pas mais le mode de propagation de Satana reste probablement classique. A savoir par e-mail (et éventuellement d’un expéditeur en recherche de travail avec des liens vers les fichiers infectieux comme dans le cas de la première version de Petya). Une fois le MBR remplacé, le malware s’attaque au chiffrement des fichiers du disque (et des éventuels volumes reliés à l’ordinateur) et attend patiemment que le système soit redémarré. Quand c’est le cas, un message s’affiche sur l’écran expliquant la démarche à suivre pour récupérer l’accès à son PC, à savoir le paiement d’une rançon de 0,5 bitcoin (plus de 300 euros au cours du jour).

Si l’utilisateur parvient néanmoins à remplacer le MBR par un fichier d’amorçage sain (une manipulation manuelle qui est loin d’être à la portée de tout le monde), il se heurtera aux fichiers chiffrés sur le disque. Lesquels ont été renommés avec, en en-tête du nom, un e-mail aléatoirement choisi parmi ceux de l’équipe des développeurs de Satana, selon l’expert en sécurité (Gricakova@techmail.com, dans l’exemple présenté). Et les méthodes de chiffrement semblent suffisamment avancées pour rendre les fichiers piégés définitivement irrécupérables. D’autant que Malewarebytes pointe un bug pour le moins problématique pour la victime. De par le mécanisme de chiffrement/déchiffrement des fichiers, en cas de déconnexion au serveur de commandes et contrôle (C&C), la clé de décryptage (qui est la même que pour le cryptage) est perdue. Brisant tout espoir de la victime à pouvoir récupérer ses données (sauf à avoir fait préalablement des sauvegardes). « Même les victimes qui paient peuvent ne pas récupérer leurs fichiers si elles (ou le C&C) sont hors ligne lorsque le chiffrement arrive », prévient la société de sécurité.

Du code en cours de perfectionnement

Ce n’est pas la seule bizarrerie que remarque le chercheur Hasherezade, auteur du billet. Il constate également que, le ransomware affiche toute la procédure de son déploiement, y compris la progression du chiffrement des fichiers. « Habituellement les auteurs de logiciels malveillants ne veulent pas laisser le code de débogage dans leur produit final », écrit le chercheur. Lequel conclut que Satana est probablement encore en cours de développement et contient des failles. « Le code d’attaque de bas niveau semble inachevée – mais les auteurs montrent un intérêt dans le développement du produit dans ce sens et nous pouvons nous attendre que la prochaine version sera améliorée. » Une nouvelle génération de rançongiciel est bien en marche.

En savoir plus sur http://www.silicon.fr/satana-nouvelle-generation-de-ransomware-151994.html#FF7jPdVzjmGeHPwM.99

Un malware cousin de Furtim cible les énergéticiens européens

virusSentinelOne a découvert une variante du malware Furtim qui vise les sociétés européennes dans le domaine de l’énergie. Un Etat se cacherait-il derrière cette menace ?

En mai dernier, des chercheurs la société EnSilo ont découvert un malware baptisé Furtim qui devait son nom à une obsession virant à la paranoïa de ne pas être détecté par les outils de sécurité. De la préparation à son installation jusqu’à son implémentation, le malware scrute, analyse et bloque tout ce qui touche de près ou de loin à la sécurité IT.

Il semble que ce malware revienne sous une autre forme pour s’attaquer au système industriel des entreprises énergétiques européennes. Des chercheurs de SentinelOne l’ont détecté au sein du réseau d’un énergéticien européen. Cette menace a un nom, SFG, et a été trouvée à la fois par une remontée d’information des logiciels de SentinelOne, mais aussi sur des forums privés. Les experts ont travaillé sur les échantillons pour comprendre son fonctionnement. Les résultats de cette analyse montrent que le comportement, la sophistication et la furtivité du malware sont l’œuvre d’un Etat ou pour le moins d’une organisation soutenue par un gouvernement. Les experts penchent pour une initiative provenant de l’Europe de l’Est.

Jusqu’au sabotage du réseau énergétique

Dans le détail, le cousin de Furtim s’appuie sur les mêmes exploits pour éviter d’être repéré par les outils de sécurité (antivirus, firewall next gen, solution endpoint, sandboxing). Plusieurs développeurs de haut niveau ont mis la main à la pâte pour perfectionner SFG.  L’objectif est multiple, extraire des données ou faire tomber le réseau d’énergie, sans laisser de traces. Le malware affecte toutes les versions de  Windows, précise SentinelOne dans un blog. Il situe ses débuts au mois de mai dernier et il est encore actif.

Ce n’est pas la première fois que les entreprises énergétiques sont visées par des malwares ayant pour ambition le sabotage du réseau. On pense bien évidemment au premier virus qui visait les SCADA, Stuxnet. Mais plus récemment, l’Ukraine a été victime d’une panne de courant provoquée par une cyberattaque s’appuyant sur le malware Blackenergy. Ce type de menaces est pris très au sérieux par les gouvernements au point de forcer les entreprises à remonter leurs niveaux de sécurité. En France, l’ANSSI peaufine les arrêtés sectoriels sur la sécurité des OIV (opérateurs d’importance vitale) notamment dans le domaine de l’énergie.

En savoir plus sur http://www.silicon.fr/sfg-malware-cousin-furtim-cible-energeticiens-europeens-152956.html#bHeYwDKm5bCzLVjF.99