Virus Bad Rabbit

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d’Europe de l’Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés d’infection initiale, Bad Rabbit n’exploite aucune vulnérabilité pour s’installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l’attaquant. De là, l’attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l’utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l’utilisateur devait alors manuellement lancer l’exécution de ce binaire. Ensuite, si l’utilisateur possédait les privilèges administrateurs, la machine était considérée infectée.

Install_flash_player.exe dépose sur le disque C:\Windows\infpub.dat et l’exécute par le biais de rundll32.exe avec les arguments #1 et 15. #1 est l’ordinale de la table d’export servant de point d’entrée et 15 le nombre de minutes avant de lancer la procédure de chiffrement du disque.  Infpub.dat crée deux tâches planifiées. La première est chargée de lancer discpci.exe, dont le rôle est de modifier le Master Boot Record (MBR), afin de pouvoir afficher la note de rançon au prochain démarrage. Discpci.exe communique aussi avec le pilote de DiskCryptor (ici cscc.dat), un logiciel de chiffrement disponible en source ouverte. La deuxième tâche planifiée sert à redémarrer le système et effacer certains événements des journaux. Après au plus dix-huit minutes (15 plus 3) , la procédure de chiffrement des fichiers avec des extensions choisies se lance. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la clé AES récupérée. Bad Rabbit tente également de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz.

Pour se propager dans le réseau interne, Bad Rabbit envoie des requêtes ARP et se fie aux réponses afin de se construire une liste des hôtes présents. Pour chacune de ces adresses, des tentatives de connexion sont effectuées par le biais de requêtes SMB en testant une liste de noms d’utilisateurs/mots de passe couramment utilisés. Si ces tentatives échouent, Bad Rabbit cherche à exploiter la vulnérabilité EternalRomance, corrigée au mois de mars 2017 par Microsoft (cf. section Documentation).

Bad Rabbit et NotPetya possèdent des similitudes au niveau du code ainsi qu’au niveau de l’infrastructure de livraison. Toutefois, une différence fondamentale peut expliquer la différence d’impact. NotPetya était injecté dans le réseau interne par le biais d’une mise à jour d’un logiciel dit de confiance. A l’inverse, Bad Rabbit requiert une action utilisateur, sinon rien ne se passe. Au niveau de la latéralisation, Bad Rabbit est également moins virulent.

Le respect des bonnes pratiques, notamment le guide d’hygiène informatique de l’ANSSI (cf. section Documentation) permet de neutraliser ces vecteurs d’infection.

A ce jour, le CERT-FR n’a pas connaissance de victimes françaises.

iOS : vous pourriez donner votre mot de passe à un hacker sans le savoir

Un développeur autrichien a réussi à reproduire la boîte de dialogue iOS demandant parfois le mot de passe iTunes. La technique peut être utilisée très facilement par n’importe quelle personne mal intentionnée.

En matière de sécurité, iOS n’est parfois pas exempt de défauts. Le cas publié par le développeur Felix Krause en est certainement le meilleur exemple. Il a réussi à reproduire, au sein d’une application, les boîtes de dialogue du système d’exploitation lorsqu’il demande à l’utilisateur de saisir le mot de passe de son compte iTunes. Cela permettrait à un développeur mal intentionné de facilement récupérer cette donnée confidentielle et de l’utiliser à mauvais escient.

Cette solution de phishing difficilement détectable est dangereuse à plus d’un titre. Tous les comptes iTunes ne sont en effet pas protégé par un système d’identification à deux facteurs. Mais même si c’était le cas, les victimes utilisent souvent le même mot de passe pour plusieurs services. Il pourrait donc être réutilisé sur des comptes ouvert sur d’autres sites.

Une subterfuge très simple à coder

Prudent, le développeur autrichien à l’origine de la solution de gestion d’applications Fastlane a décidé de ne pas publier le code pour qu’il ne soit pas réutilisé. Il explique malgré tout que cela est très facile à réaliser avec « moins de 30 lignes de code ». « N’importe quel développeur iOS est capable de concevoir son propre code de phishing », précise-t-il.

Les utilisateurs peuvent facilement tomber dans le piège, tant ce pop-up est courant. On le remplit souvent machinalement, sans jamais se douter d’un phishing est possible. Les applications peuvent demander ce mot de passe pour, par exemple, accéder à iCloud, au Game Center ou confirmer un achat intégré.

Des astuces pour ne pas se faire avoir

Etant donné qu’il n’existe aucune différence esthétique entre l’originale et la fausse boîte de dialogue, il faut chercher plus loin pour ne pas se faire avoir. En cas de doute, il faut tout d’abord appuyer sur le bouton Home. Si le pop-up est un faux, cette action le ferme et affiche l’écran d’accueil. S’il est authentique, une pression sur le bouton Home n’agira absolument pas et le pop-up sera toujours affiché.

Le développeur donne également quelques conseils généraux pour éviter le phishing dans les applications mobiles. Il recommande par exemple de ne jamais entrer ses identifiants dans ces boîtes de dialogue, mais d’aller plutôt directement dans les réglages d’iOS ou de l’application. Un comportement qui équivaut à ne jamais cliquer directement dans un lien inclus dans un e-mail, mais à se rendre sur le site en question en saisissant soi-même l’adresse dans son navigateur.

Enfin, Felix Krause estime qu’Apple fait du bon travail pour sécuriser les applications qu’il approuve sur l’App Store, mais qu’il reste encore possible de tromper ce contrôle. Une application peut ainsi exécuter du code ou activer à distance une fonctionnalité une fois que le feu vert d’Apple a été donné. On peut également la déclencher après un certain temps en intégrant une sorte de compte à rebours au sein de l’application. Reste qu’Apple devra réagir à ce problème urgemment maintenant qu’il est public.

Cybersécurité : le Ministère des finances pirate 30 000 fonctionnaires juste pour les tester !

Très à cheval sur les questions de cybersécurité, le Ministère des finances a décidé de piéger 30 000 de ses agents afin de les sensibiliser aux risques de piratage. Une campagne de phishing a donc été lancée ce lundi matin et on ne peut pas dire que les résultats soient très glorieux…

Le Ministère des finances ne prend pas les risques de piratage à la légère. Afin d’évaluer les réflexes de ses employés dans le domaine de la cybersécurité, Bercy a d’ailleurs piraté jusqu’à 30 000 boîtes mail via une campagne de phishing particulièrement efficace. L’objectif du Ministère et de sa simulation: sensibiliser ses agents aux risques de piratage.

Quand on sait que 80% des entreprises d’Europe ont déjà été ciblées par une cyberattaque, on ne s’étonne pas de l’inquiétude du Ministère des finances en matière de cybersécurité. Il ne s’agit d’ailleurs pas de la seule institution officielle à conduire des simulations au sein de ses membres : il y a peu, nous apprenions en effet que les ministres de la Défense de l’Union Européenne avaient été mis à l’épreuve lors d’un test d’1H30.

Cybersécurité : jusqu’à 145 000 mails de phishing envoyés !

Selon FranceInfo et Mashable, ce lundi 2 octobre, les agents du Ministère des finances ont reçu un email de destinataires comme Jean-Baptiste Poquelin ( le célèbre Molière), Thérèse Desqueyroux (du nom d’une oeuvre de François Mauriac) ou Emma Bovary (l’héroïne d’un roman de Gustave Flaubert) pour leur proposer des places de cinéma gratuites. Si ces noms extravagants issus de la littérature française auraient pu mettre la puce à l’oreille des employés du Ministère, il n’en fût rien. Malgré l’étrangeté du mail reçu, ceux-ci n’ont pas résisté à cliquer sur le lien contenu dans le courriel. Une page web vient alors rappeler au fonctionnaire pris au piège les bons usages en matière de cybersécurité et d’échange de mails.

Plus de 30 000 fonctionnaires se sont ainsi fait avoir par le piège tendu par le Ministère des finances. Déployée du 2 au 6 octobre sur les boîtes mail de fonctionnaires, la manoeuvre se présente au final comme une astucieuse campagne de prévention aux questions de sécurité informatique. Selon Yuksel Aydin, adjoint à la sécurité des services informatiques du Ministère des finances, la simulation menée prouve bien que beaucoup d’utilisateurs ne sont pas encore prêts à se protéger contre les pirates. Un constat corroboré par une récente étude qui affirme qu’un 1 internaute sur 2 continue de cliquer sur les mails de phishing.

Cet article Cybersécurité : le Ministère des finances pirate 30 000 fonctionnaires juste pour les tester ! est apparu en premier sur PhonAndroid.