Prenez garde à Karmen, le ransomware low-cost

Un cybercriminel propose un ransomware en mode SaaS, Karmen, permettant de rançonner des utilisateurs de PC. Et l’outil ne coûte que 160 euros.

Un service de ransomware à des prix défiant toute concurrence ? C’est en tout cas ce à quoi ressemble Karmen, déniché par les chercheurs de Recorded Future, spécialisée dans l’intelligence sur la menace. Car, dans le monde des cybercriminels aussi, les tâches sont taylorisées, avec des développeurs de menaces qui mettent leurs créations à disposition d’autres cybercriminels sous forme de service. C’est dans cette famille que se range Karmen, qui offre à des malfaiteurs souhaitant lancer une campagne infectieuse un service de ransomware (RaaS, pour ransomware as-a-service). Le RaaS peut être exploité par à peu près quiconque – le niveau d’expertise requis étant très limité -, et à bas coût (175 dollars seulement, soit un peu plus de 160 euros).

Pour le reste, Karmen se configure comme un logiciel SaaS standard : on détermine le prix de la rançon, la durée dont disposent les victimes pour s’en acquitter et les moyens de communiquer avec elles. La console d’administration se présente comme un tableau de bord permettant aux cybercriminels de faire, à tout instant, le bilan de leur campagne infectieuse. « Le ransomware Karmen est vendu comme une variante de ransomware, à laquelle on accède via un paiement unique au démarrage. Ce qui permet à un acheteur de conserver 100 % des montants versés par les victimes », résume Recorded Future, dans un billet de blog.

20 licences de Karmen seulement ?

En pratique, Karmen s’apparente à un ransomware Open Source appelé Hidden Tear, une souche publiée en août 2015 par un chercheur en sécurité turc. Deux versions de Karmen sont proposées, la mouture light ne proposant la fonctionnalité de détection des outils de protection (bacs à sable, et outils d’analyse). Recorded Future explique avoir découvert cette souche début mars sur les forums underground ; elle était proposée par un cybercriminel russophone connu sous les pseudos DevBitox et Dereck1. Selon les chercheurs, il s’agirait du premier projet ‘commercial’ de ce hacker. DevBitox aurait prévu de vendre 20 ‘licences’ de son outil de RaaS. Dans leur billet de blog, les chercheurs indiquent que seulement 5 copies restent disponibles.

Les premiers cas d’infection par Karmen remontent à décembre 2016, avec des victimes identifiées en Allemagne et aux Etats-Unis. Le ransomware chiffre les données sur les PC infectés avec l’algorithme AES-256.  Signalons que le projet NoMoreRansom, une initiative conjointe des forces de police et de l’industrie, dispose désormais d’un outil gratuit permettant de déchiffrer les données prises en otage par Hidden Tear (et Karmen).

Source :

Locky revient à travers une nouvelle campagne de spam

Le ransomware Locky tente une nouvelle percée à travers une campagne de spam et un mode opératoire aujourd’hui dépassé.

Après plusieurs semaines de silence, la propagation du ransomware Locky reprend du service à travers une nouvelle campagne de spam, alerte My Online Security qui reproduit le contenu d’un message reçu le 21 avril dernier. Les PME sont particulièrement visées alors que l’objet de l’e-mail évoque un reçu de paiement qui se présente sous les intitulés « Receipt », « Payment » ou encore « Payment Receipt » suivi d’un nombre généré aléatoirement.

L’e-mail s’accompagne d’un fichier PDF dont l’intitulé ne fournit aucun indice quant à son contenu (P2724.pdf, par exemple). Si le destinataire de la missive a la mauvaise idée de cliquer sur la pièce jointe, le document qui s’affiche invite ce dernier à ouvrir un document Word ou Excel embarqué. Un mode opératoire des plus suspects pour le moins. Surtout lorsque s’affiche un message invitant à autoriser le logiciel à éditer le contenu du document (en cliquant sur le bouton qui apparait alors en haut de la page) sous prétexte que celui-ci a été créé avec une version plus récente de l’éditeur que celle installée sur la machine. Microsoft a en effet mis en place cette demande d’exécution pour justement lutter contre l’exécution automatique de macro malveillante. Une étape supplémentaire qui nécessite une interaction de l’utilisateur censée limiter les risques d’infection (sauf si l’exécution des macros est configurée pour démarrer automatiquement).

Paiement incontournable

Effectivement, le fichier Office contient une macro qui télécharge le fichier exécutable redchip2.exe qui n’est autre que Locky. Le fichier est en tout cas qualifié comme tel par une quarantaine d’éditeurs d’antivirus sur les 60 référencés par VirusTotal. Une fois téléchargé, le script s’exécute automatiquement et commence le chiffrement des fichiers du disque dur qui héritent alors de l’extension .OSIRIS. Espérons que cette suite de manipulations datant d’une époque antédiluvienne dans l’histoire de l’informatique aura mis la puce à l’oreille de l’utilisateur qui évitera ainsi de tomber dans le panneau.

Si, malgré l’ensemble des obstacles qui se dressent sur sa route Locky parvient à ses fins, sa victime en est alors informée par un message qui indique que « tous vos fichiers ont été chiffrés en RSA-2048 et AES-128. […] Le décryptage de vos fichiers n’est possible qu’avec la clé privée et le programme de décryptage qui se trouvent sur notre serveur secret ». Suit un mode d’emploi pour installer le navigateur Tor et une adresse du réseau d’anonymisation qui demande le paiement d’une rançon en bitcoins en échange de la clé de déchiffrement. A moins d’avoir fait une sauvegarde de ses données, l’utilisateur n’aura d’autre choix que de payer s’il veut espérer les récupérer (sans aucune garantie de service pour autant). Il n’existe, pour l’heure, aucun outil gratuit de déchiffrement de Locky.

Photo credit: portalgda via VisualHunt / CC BY-NC-SA

La CIA démasquée dans une série de piratages informatiques

En mars dernier, Wikileaks publiait des milliers de documents dévoilant l’arsenal cybernétiques de la CIA (Central intelligence Agency) sous le nom de Vault 7. Depuis, ces informations ont permis de retrouver la trace de l’agence derrière une série d’attaques.

Si les informations contenues dans Vault 7 étaient pour la plupart obsolètes, elles n’en restent pas moins révélatrices des activités de la CIA dans le cyberespace. Grâce à elles, l’entreprise de sécurité informatique Symantec a pu confirmer l’une de ses pistes.

Celle menant à Longhorn, un groupe actif depuis au moins 2011, mais repéré par l’entreprise en 2014 seulement lorsqu’il a tenté de dérober les données d’une quarantaine de cibles, réparties dans 16 pays différents. À l’époque, Symantec pensait déjà avoir débusqué un groupe de pirates affiliés à un État et qu’il était probablement américain.

La CIA derrière le groupe Longhorn

Depuis, les révélations de Wikileaks sont passées par là : les méthodologies (Trojan + exploitation de failles zero day notamment) décrites dans les documents ainsi que les logiciels utilisés par le groupe et répertoriés dans Vault 7 ont permis de lever les derniers doutes existants, puisqu’ils sont en tous points identiques.

Sans jamais le dire explicitement, Symantec pointe son regard vers la CIA : « Il ne fait aucun doute que les activités de Longhorn et ceux décrits dans les documents Vault 7 sont le travail du même groupe ». En l’occurrence pour Wikileaks, celui de la CIA.

40 cibles dans 16 pays

« Longhorn a infecté 40 cibles dans au moins 16 pays, au Moyen-Orient, en Europe, en Asie et en Afrique, détaille Symantec. Dans un cas, un ordinateur situé aux États-Unis a été infecté, mais, quelques heures plus tard, un logiciel de désinstallation a été lancé, ce qui pourrait indiquer que la victime avait été ciblée par erreur. »

Depuis mars dernier et les premières révélations Vault 7, Wikileaks poursuit son entreprise de publications de documents internes à la CIA : arsenal, cibles, techniques employées, etc. Fuites que l’agence s’est bien gardée de confirmer ou de nier.

Selon Symantec, les cibles de Longhorn sont des gouvernements, des organismes internationaux, mais aussi des cibles dans la finance, les télécoms, l’énergie, l’aéronautique, les technologies de l’information, l’éducation et les secteurs des ressources naturelles.

Apple a le feu vert pour faire rouler des véhicules autonomes en Californie

Apple a obtenu le feu vert des autorités californiennes pour faire circuler sur les routes de l’État des systèmes de conduite autonome. Est-ce que cela signifie pour autant que le constructeur informatique prépare un véhicule sans chauffeur ? Cela reste encore à démontrer.

Apple est loin d’être la seule entreprise à avoir reçu l’autorisation du Department of Motor Vehicles. Tesla, Alphabet (Google), Uber et plusieurs autres grands noms de l’industrie informatique peuvent tester des automobiles équipées de systèmes de conduite autonome en Californie.

En fin d’année dernière, le créateur de l’iPhone avait renouvelé son intérêt pour les technologies d’assistance à la conduite, au travers d’un courrier adressé à l’Agence nationale de la sécurité routière américaine. Depuis quelques années, il se murmure qu’Apple investit beaucoup de ressources et d’argent dans le projet Titan ; bon nombre d’observateurs avaient parié que derrière ce nom se cachait une voiture au complet.

Vers une plateforme de conduite autonome

Mais Apple est semble-t-il revenu à quelque chose de moins complexe. On parle en effet d’un logiciel de conduite autonome, qui certes reste un service compliqué à mettre au point, mais un peu moins que la conception, la production et la commercialisation d’un véhicule de A à Z.

Cette autorisation va en tout cas permettre à Apple de tester des solutions et des logiciels. Rien ne dit néanmoins que nous serons bientôt au parfum : ces tests ne signifient pas que le constructeur soit prêt à dévoiler quoi que ce soit.

Source

Ransomwares : 38 % des victimes paient leur rançon

L’exploitation des ransomwares est une activité très rentable pour les cybercriminels. Tout simplement parce que, faute de défenses adaptées, nombre d’utilisateurs n’ont d’autre choix que de payer la rançon pour récupérer leurs données.

C’est un chiffre qui, à lui seul, explique pourquoi les cybercriminels ont été si prompts à s’emparer des ransomwares pour les distribuer massivement via des campagnes de phishing : pas moins de 38 % des victimes de ces malwares chiffrant le contenu des disques durs paient la rançon demandée par les cybercriminels. « S’il est exact que les hackers ont probablement plus à gagner du côté des grandes organisations, les experts disent que ce sont les consommateurs, avec leur manque de connaissances en sécurité, qui constituent la cible la plus facile à atteindre », écrit la société Trustlook, dans un billet de blog. A l’origine de cette étude auprès de 210 utilisateurs, cette société spécialisée en cybersécurité ajoute que 45 % des consommateurs n’ont même jamais entendu parler des ransomwares. De là à s’en protéger…

De 100 à 500 $ de rançon

Parmi les utilisateurs qui n’ont jamais été touchés par cette menace, 7 % seulement affirment qu’ils paieront la rançon demandée par les cybercriminels en cas d’infection. Rappelons que le versement de cette rançon permet à l’utilisateur de récupérer – du moins en théorie – la clef permettant de déchiffrer ses données. Dans les faits, la proportion d’utilisateurs qui se plient à ce chantage est toutefois plus de 5 fois supérieure, parmi les personnes ayant réellement vu un de leurs systèmes bloqué par un ransomware, soit 17 % des utilisateurs selon Trustlook.

Peut-être en raison de la proportion d’utilisateurs ne réalisant aucune sauvegarde de données depuis leur PC ou terminal mobile (23 %). Et encore, aucune statistique ne permet de se prononcer sur la fraîcheur des sauvegardes effectuées par les 77 % restants. Un terreau propice pour les cybercriminels, qui peuvent ainsi négocier des rançons, situées en moyenne dans une fourchette allant de 100 à 500 $.

Cerber roi des ransomwares

Identifié souvent comme la principale menace ciblant les utilisateurs (à domicile ou au bureau), le ransomware se décline en de nombreux malwares différents, touchant toutes les plates-formes, y compris le Mac (avec une souche comme FindZip) ou Android (avec Jisut). Selon MalwareBytes, au cours du premier trimestre 2017, Cerber est devenu le ransomware le plus diffusé par les cybercriminels. Cette souche supplante Locky, la star de 2016 dont le recul est très rapide depuis novembre dernier. Ce malware, qui a fait d’importants ravages en France, est tombé à moins de 2 % des ransomwares distribués en mars, là où Cerber approche les 90 %.

DOUBLE AGENT : LA FAILLE QUI SE JOUE (MÊME) DES ANTIVIRUS

Une équipe de chercheurs en sécurité israéliens de la société Cybellum, a mis en lumière une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) permettant à un cybercriminel de prendre le contrôle total d’une machine.

La faille est logée dans une fonctionnalité âgée 15 ans, nommée « Application Verifier ».
Cet outil Windows charge des DLL comme processus pour permettre aux développeurs de les tester rapidement et de détecter d’éventuelles erreurs de développement.

Cependant en créant une clé de registre portant le même nom que l’application à détourner, l’attaquant peut injecter dans n’importe quel processus légitime, sa propre DLL custom et prendre le contrôle total de la machine. Il peut entre-autres, installer une porte dérobée (backdoor) ou un logiciel malveillant (malware), détourner des permissions, prendre la main sur les sessions d’autres utilisateurs…etc.

Pour démontrer la gravité de la faille de sécurité identifiée, les chercheurs ont réussi à injecter du code dans des antivirus et à les corrompre pour que ces derniers se comportent comme des rançongiciels et se mettent également à chiffrer les fichiers présents sur le disque dur des ordinateurs.
Ils auraient tout aussi bien pu se contenter de désactiver ces antivirus, ou de les rendre « aveugles » aux virus, mener des attaques DDoS, les utiliser comme proxy pour lancer des attaques sur le réseau local, y déployer du code malveillant, ou s’en servir pour exfiltrer des données.
Notons que la démonstration aurait pu être faite avec n’importe quel programme, y compris Windows lui-même !

14 éditeurs d’antivirus ont été notifiés il y a plus de 90 jours afin d’apporter les patchs utiles pour colmater la faille :

  • AVG
  • Malwarebytes
  • Avast
  • Avira
  • Bitdefender
  • Trend Micro
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • McAfee
  • Panda
  • Quick Heal
  • Norton

A notre connaissance, seuls AVG, Kaspersky, Trend Micro and Malwarebytes ont apporté les corrections nécessaires à cette date.
> Pourquoi est-ce inquiétant ? 
La faille révélée par la société Cybellum est désormais publique et les codes pour l’exploiter disponibles au sein de la communauté cybercriminelle.
La majorité des éditeurs d’anti-virus tardent à rendre les patchs disponibles.
Si à cette heure, aucune attaque et aucun sinistre exploitant cette faille ne sont encore à déplorer, il y a fort à parier que la situation se dégradera rapidement.
Nous prévoyons une première vague cybercriminelle dans les jours à venir compte tenu de la simplicité de l’ingénierie à mettre en place pour la mener

GDPR : que dit le nouveau règlement européen sur les données personnelles ?

Un nouveau règlement européen (GDPR), à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles.

Le GDPR, ou General Data Protection Regulation, est le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Il repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.  La notion d’identification indirecte a son importance : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

A qui s’appliquera-t-il ?

A tous les acteurs économiques, voire sociaux : les entreprises bien sûr, mais également les associations, administrations, collectivités locales et syndicats entreprises. En effet, lorsque l’on parle de données personnelles, on inclut les informations des employés, clients, partenaires, prospects, que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des logs et du traçage, même non identifié, des visiteurs du site Internet de l’entreprise. Entre le caractère omniprésent des données numériques et la notion d’identification directe et indirecte, aucune société ne pourra y échapper.

Le GDPR et ses obligations pour les entreprises

En reposant sur le droit de chacun à la protection de ses données personnelles, le nouveau règlement impose des devoirs qui sont autant d’obligations aux entreprises. Celles-ci seront notamment tenues en principe de s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver. Elles veilleront à ce que seules les données nécessaires à la finalité en cause, et seulement pour celle-ci, soient collectées. Les données ne devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

L’entreprise veillera également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente, la CNIL en France, et informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée.

L’entreprise devra en outre documenter toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Elle ne pourra transférer en dehors de l’Union Européenne ces données que selon un cadre strictement défini par le règlement et n’engager pour le traitement de ces données que des entreprises tierces offrant toutes les garanties nécessaires pour répondre à ces obligations. Enfin, à tout moment, elle devra pouvoir prouver aux autorités compétentes que tout est bien mis en oeuvre pour répondre à ces obligations.

Qui dit obligations, dit sanctions

Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. Et c’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement. La nécessité d’une approche de cyber-résilience dans le traitement des données personnelles

Les obligations du GDPR supposent qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement. Au-delà de cette quasi omniscience, elle doit être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l’événement.

Au-delà du traitement administratif du sujet, ces différentes obligations imposent à l’entreprise d’adopter une approche résolument cyber-résiliente, et donc d’intégrer la sécurité au coeur de son traitement des données, sous peine de sanctions bien plus élevées que l’investissement initialement nécessaire. Cette cyber-résilience suppose que l’entreprise se prépare à des cyber-attaques, dont la question n’est plus de savoir « si » mais « quand » elles se produiront. Ce processus de préparation doit être minutieux et planifié, avec une véritable évaluation et une cartographie des données et une analyse des incidents de sécurité.

Il permettra ainsi une détection plus rapide d’un risque avéré et une réponse plus efficace qui évitera le développement de l’attaque à davantage de systèmes et ainsi des préjudices supplémentaires. L’entreprise devra également veiller à se protéger contre ces attaques, ce qui implique bien entendu la mise en place et la mise à jour de technologies de protection, mais également une véritable formation, continue et renouvelée, des personnels impliqués. Les organisations devront donc suivre l’adage selon lequel « il vaut mieux prévenir que guérir », mais devront également tester régulièrement cette préparation afin de déterminer les failles potentielles et d’y remédier.

Cette gestion des risques étendue liée à la protection des données devra être partagée par et avec l’ensemble de l’entreprise, depuis les dirigeants en passant par les différents métiers et bien entendu jusqu’aux responsables de la sécurité des systèmes d’information.

Une opportunité de confiance et de croissance

Différentes études ont récemment montré que les consommateurs européens n’avaient que peu voire pas confiance dans les entreprises pour ce qui est de la gestion de leurs données personnelles. Cette méfiance induit non seulement des réticences quant aux activités numériques mais également la génération de données fausses ou erronées destinées à préserver leur réelle identité et vie privée, alors même que de plus en plus d’entreprises ont un business model reposant soit partiellement soit intégralement sur la validité de ces mêmes données. En outre, la valeur de celles-ci croit, ou est censée croître si elles sont justes. Avec la numérisation de l’économie qui implique la croissance exponentielle du volume de données informatiques, on décèle fort bien ici un risque de blocage ou de crise systémique qui serait préjudiciable.

Le GDPR vient ici simplifier, harmoniser et assainir la gestion des données dans les différents pays de l’Union Européenne. Par là même, elle entend permettre plus de transparence et donc de confiance dans le monde numérique. Et ce facteur confiance est un élément décisif dans le développement des activités en ligne, tout autant, voire plus que la qualité d’un produit ou d’un service, ou que son service client. Plutôt qu’un frein, c’est un véritable accélérateur pour l’exploitation à bon escient du gisement économique que représentent les données personnelles, qui continuera de croître de façon exponentielle avec le développement des objets connectés. Elle permet, à chaque entreprise, de comprendre et d’évaluer à leurs justes valeurs ces données personnelles, d’en tirer parti et profit, tout en respectant le consommateur et en gagnant sa confiance à court, moyen et long termes.

Si la GDPR définit un cadre stricte à la collecte, au traitement et à la gestion des données privées,  posant même des sanctions élevées, elle place la sécurité de ces mêmes données au coeur de leur activité, impliquant une nécessaire cyber-résilience. Plus qu’un ensemble de contraintes, elle doit être considérer comme une opportunité de croissance. S’y conformer est certes une obligation ; c’est également et surtout un investissement dont le retour s’avèrera à la fois rapide et pérenne.

Par Laurent Heslault, directeur des stratégies de sécurité