Je décline toute responsabilité quant aux mentions qui s'affichent dans les cinq lignes ci-dessus du pavé "Recherchez aussi" sur lequel je n'ai aucun contrôle.
Mes statistiques sont bloquées depuis le 2 février 2015.
7 février 2015
Mes statistiques sont de retour, tout fonctionne.
16 février 2015
Statistiques "basiques" de nouveau bloquées depuis le 12 février.
22 février 2015
Mes statistiques "basiques" ont été débloquées hier soir après la publication de mon dernier article concernant NEMROD34. Belle reprise simultanée de l'activité du Chinois.
23 février 2015
Statistiques "basiques" toujours sujettes à blocages : le 21 février au soir, à peine étaient-elles débloquées, puis à nouveau hier, 22 février, à peine étaient-elles débloquées.
24 février 2015
Statistiques "basiques" débloquées. Pas de nouveau pic d'activité du Chinois depuis le 21 février.
25 février 2015
Je n'ai pas mes statistiques "basiques" du jour, ça bloque encore... et Justinpetitcoucou est toujours bloqué depuis le 8 février... Faudrait penser à le débloquer, lui aussi, il y a du laisser-aller, là...
26 février 2015
Statistiques "basiques" des deux blog débloquées. Merci pour Justin, il était temps !
27 février 2015
Statistiques "basiques" des deux blogs de nouveau bloquées depuis le 26 février. Ce petit jeu pourrait-il cesser ? On n'en voit pas l'intérêt... Complément de 22 h: merci de m'avoir rendu ces statistiques !
25 mars 2015
Statistiques "basiques" de nouveau bloquées depuis le 20 mars.
26 mars 2015
Merci de m'avoir débloqué mes statistiques "basiques". Encore une fois, je ne vois pas l'intérêt de ce petit jeu. Ce serait aussi bien de cesser de bloquer ces statistiques pour oublier de les débloquer jusqu'à ce que j'aie signalé le problème.
31 mars 2015
Merci de bien vouloir me débloquer les statistiques "basiques" de Justinpetitcoucou, restées bloquées depuis le 14 mars - cf. avis du 25 mars sur Justin.
2 avril 2015
Merci de m'avoir rendu les statistiques de Justin.
7 mai 2015
Je n'ai plus de statistiques depuis deux jours, ni "basiques" ni "avancées".
10 mai 2015
Retour des statistiques "basiques". Merci. Manquent encore les statistiques "avancées".
14 mai 2015
Toutes mes statistiques sont de retour depuis hier. Merci.
3 octobre 2015
Depuis hier, les compteurs de mes statistiques avancées sont tous à zéro. Merci de me les rendre.
Durant tout le temps de l’activité de mon ancien blog « Un petit coucou » sur la plateforme OverBlog, soit de mars 2010 à juin 2013, j’ai été presque quotidiennement abondamment insultée, menacée, harcelée jusque sur mon propre blog par mes calomniateurs de la bande de Cyprien Luraghi, comme ils le faisaient déjà auparavant sur ma page du Post tant que j’ai été inscrite sur ce média, de début septembre 2009 à début mars 2010, et précédemment sur le site Rue89 depuis février 2009.
Leur cheftaine elle-même, Josette Brenterch du NPA de Brest, ne fut pas la dernière à venir m’y provoquer à compter du mois de juillet 2010.
Mais depuis que j’ai recommencé à m’exprimer sur un blog au mois de mars 2014, je ne les ai quasiment pas vus dans mes commentaires de blog, qu’il s’agisse de Petitcoucou, Satanistique ou Justinpetitcoucou.
C’est donc de manière tout à fait exceptionnelle qu’en dates des 3 et 4 février derniers, soit à la veille de l’attaque du tout nouveau trojan crypto-rançonneur Locky ayant frappé le Hollywood Presbyterian Medical Center le 5 février 2016, un internaute pseudonymé « Unknown » ressemblant à s’y méprendre à ma harceleuse d’habitude Josette Brenterch du NPA de Brest, m’a laissé trois commentaires sur Satanistique.
Eh oui, « Unknown » n’a pas manqué de commenter mon article du 9 juillet 2014 sur les voleurs de dossiers médicaux de Brest, dont Josette Brenterch du NPA, une grande spécialiste en la matière.
On notera par ailleurs que le trojan crypto-rançonneur Locky, qui a commencé par s’attaquer à un centre médical nécessairement fréquenté par des catégories de personnes parmi les plus haïes de cette femme, et a depuis muté pour multiplier ses victimes en France, a le bon goût d’y épargner les services publics et leurs finances. Autrement dit, il n’affectera pas paies et retraites des fonctionnaires.
Rappelons enfin que des pirates informatiques tels les deux compères Pascal Edouard Cyprien Luraghi et Jean-Marc Donnadieu sont régulièrement sollicités par les auteurs de programmes malveillants pour leur mise au point et les connaissent ainsi fort bien, ils leur sont destinés :
Un nouveau ransomware a fait son apparition sur les forums clandestins
janvier 15, 2014. 4:46
Les activistes de l’alliance pour la sécurité Malware Must Die (MMD) signalent la sortie prochaine sur le marché noir d’un programme d’escroquerie présenté sous le nom de Prison Locker et Power Locker. Ces chasseurs de menaces sur Internet traquent ce programme depuis le mois de novembre et selon eux, l’auteur de ce programme et son associé sont dans la phase de finition de l’interface utilisateur du toolkit et ils font beaucoup appel aux membres des forums de pirates pour les tests. L’auteur du programme malveillant a déjà fixé le montant de la licence à 100 dollars et il a l’intention d’accepter les paiements en bitcoins.
D’après les données de MMD, le nouveau ransomware a été programmé en C/C++ et se charge dans le dossier de fichiers temporaires de la victime à l’aide d’un cheval de Troie de type dropper. Une fois installé, Prison Locker chiffre toutes les données sur le disque dur et les disques partagés, à l’exception des fichiers système (.exe, .dll, .sys, etc.) D’après une déclaration publiée en décembre sur Pastebin.com, la version finale du programme malveillant utilisera l’algorithme de chiffrement Blowfish en créant une clé unique pour chaque fichier chiffré. Cette clé est ensuite chiffrée à l’aide d’une clé RSA de 2 048 bits, unique pour l’ordinateur infecté et enregistrée avec le fichier chiffré.
Prison Locker crée également un Bureau et quand le chiffrement est terminé, il y affiche en plein écran une message sur la nécessité de payer une rançon. Un module spécial bloque les touches Windows et Escape et arrête de nombreux processus Windows, dont explorer.exe, regedit.exe, taskmgr.exe et cmd.exe. Le passage d’une application à l’autre à l’aide de Alt+Tab devient également impossible. De plus, le programme malveillant vérifie toutes les quelques millisecondes si l’utilisateur n’a pas quitté le nouveau Bureau. Si c’est le cas, il l’active à nouveau.
A l’instar de CryptoLocker, ce nouveau programme d’escroquerie exige le paiement d’une rançon dans le délai imparti, sans quoi la clé de déchiffrement sera détruite. L’opérateur du programme malveillant a la possibilité de modifier ce délai, d’arrêter le compte-à-rebours ou de le réinitialiser. Il peut même fixer lui-même le montant de la rançon. Il peut également renommer le fichier malveillant et désigner un autre dossier pour son téléchargement. L’accès au tableau d’administration s’opère à l’aide des données par défaut admin/admin, mais là aussi il existe des possibilités de personnalisation.
D’après l’auteur, Prison Locker est doté de toute une série de moyens de protection. Il est en mesure de détecter son exécution sur une machine virtuelle de base, dans un bac à sable ou avec un débogueur.
A l’heure actuelle, les enquêteurs connaissent le pseudo sur les réseaux de l’auteur du programme malveillant : gyx. Ils connaissent également son numéro ICQ, son ID sur Jabber, son adresse Gmail ainsi que son surnom sur Twitter et l’adresse de sa page personnelle sur blogspot.in. Il est intéressant de voir que l’auteur de Prison Locker se décrit dans son profil Twitter comme un « défenseur de la sécurité sur Internet », « un analyste de virus débutant » et même « un programmeur C/C++ qui apprend MASM » (Microsoft Macro Assembler). Les membres de MMD ont déjà transmis les informations en leur possession à leurs collègues et partenaires dans les services de police et la situation est contrôlée.
Présidentielle 2017 : Philippe Poutou désigné candidat du NPA
Philippe Poutou avait déjà été candidat en 2012 pour le Nouveau parti anticapitaliste. Il avait récolté 1,15% des voix au premier tour.
Source AFP
Publié le 20/03/2016 à 19:13 | Le Point.fr
Le Nouveau parti anticapitaliste (NPA) a choisi Philippe Poutou, 49 ans, comme candidat à la prochaine élection présidentielle, a-t-on appris dimanche auprès du parti, confirmant une information du Lab d’Europe 1. Philippe Poutou avait déjà été candidat en 2012 pour le même parti. Le NPA, réuni à l’Université de Nanterre pour sa Conférence Nationale samedi et dimanche, a désigné Philippe Poutou dans une déclaration votée « à plus de 95% », a indiqué Jean-Marc Bourquin, responsable communication du mouvement. « Le mouvement contre le gouvernement et la loi travail nous a redonné la pêche. On a une colère à faire entendre », a indiqué Philippe Poutou à Europe 1. « On est obligé de prendre de l’avance et d’avoir un calendrier précoce pour obtenir les 500 signatures. On est donc obligé de partir plus tôt que d’autres pour passer ce tour préliminaire. Pourquoi moi ? Le fait que je sois un peu connu, ça a aidé, même si ce n’est pas quelque chose de naturel pour moi d’être candidat », a-t-il ajouté.
1,15% des voix
En 2012, Philippe Poutou avait obtenu 1,15% des voix au premier tour. Il se voulait alors le « porte-parole de ceux qui trinquent ». Né le 14 mars 1967 à Villemomble (Seine-Saint-Denis), de père facteur et de mère sans emploi, ce réparateur de machines-outils de l’usine automobile Ford de Blanquefort (Gironde) s’était fait connaître à travers son combat à la CGT pour la sauvegarde des emplois au sein de son usine. Autre candidate trotskiste de 2012, Nathalie Arthaud a elle aussi été désignée la semaine dernière comme candidate pour 2017 pour Lutte Ouvrière.
C’est finalement Philippe Poutou qui se présentera en 2017. Cinq ans après avoir été le premier candidat à la présidentielle du Nouveau Parti anticapitaliste, l’ouvrier de chez Ford, 49 ans, a de nouveau été désigné, dimanche 20 mars à Nanterre, par sa formation pour porter les couleurs du NPA dans treize mois. « Il y a quasiment eu l’unanimité pour qu’il soit candidat », assure Alain Krivine, figure historique du parti trotskiste.
« Le mouvement contre le gouvernement et la loi travail nous a redonné la pêche. On a une colère à faire entendre », a déclaré M. Poutou à Europe 1. « On est obligé de prendre de l’avance et d’avoir un calendrier précoce pour obtenir les 500 signatures. On est donc obligé de partir plus tôt que d’autres pour passer ce tour préliminaire. Pourquoi moi ? Le fait que je sois un peu connu, ça a aidé, même si ce n’est pas quelque chose de naturel pour moi d’être candidat », a-t-il ajouté.
En 2012, une campagne difficile
En 2012, alors inconnu, ce dernier avait obtenu 1,15 % des voix au terme d’une campagne difficile. Comme Nathalie Arthaud, la candidate de Lutte ouvrière, il avait souffert de la concurrence de Jean-Luc Mélenchon, qui avait attiré sur sa candidature une partie des suffrages de l’extrême gauche.
Un an plus tôt, M. Poutou avait eu la délicate mission de succéder à Olivier Besancenot, candidat à deux reprises de la Ligue communiste révolutionnaire en 2002 et 2007. Cette figure de la LCR, qui avait réalisé les meilleurs scores du parti avec plus de 4 % des suffrages les deux fois, n’avait pas voulu se représenter. Et a fait savoir qu’il ne souhaitait toujours pas rempiler en 2017.
Ouvrier à l’usine automobile Ford de Blanquefort (Gironde), M. Poutou s’était fait connaître à travers son combat à la CGT pour la sauvegarde des emplois au sein de son usine. En 2014, il avait quitté la direction du NPA en critiquant un comité exécutif du parti « trop parisien » et dénonçant des « problèmes de fonctionnement, de manque de démocratie, de manque de respect entre camarades ».
Depuis plusieurs années, les temps sont durs pour la formation trotskiste. En 2009, la Ligue était devenue le NPA et connaissait son apogée avec plus de 9 000 militants et l’idée de créer un parti de masse. Mais plusieurs crises internes ont eu raison de cet idéal. La formation a perdu son financement public dans la foulée des législatives en 2012 et a dû faire face à au départ de nombreux militants au Front de gauche.
La première victime connue est le Hollywood Presbyterian Medical Center, attaqué le 5 février 2016.
Si le responsable du centre médical a tenu à rassurer ses patients sur la totale sécurité des soins dispensés dans son établissement jusqu’au paiement d’une rançon d’environ 15000 euros, il est évident qu’il ne peut leur garantir qu’ils ne seront pas eux-mêmes victimes de chantages ou autres désagréments en conséquence du vol de leurs dossiers médicaux…
1/2 Voici le type de mail qui vous est adressé, contenant le virus Locky. Attention à ne surtout pas cliquer sur la pièce jointe. Et jetez vite fait ce mail à la poubelle!
Le Matin
Attention au virus Locky! Utilisant la même technique de vol de données que le cheval de Troie Dridex (les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex), il permet aux pirates informatiques de chiffrer vos données et vous en bloquer l’accès.
Le versement d’une rançon est ensuite exigé par les hackers, ceci afin que les victimes obtiennent la clé de déchiffrement qui leur permettra de récupérer les fichiers.
Evidemment, à la condition expresse que les pirates tiennent parole, sans quoi les fichiers sont simplement irrécupérables.
Des exemples? Aux Etats-Unis, le Hollywood Presbyterian Medical Center a été stoppé après une infection par le Locky. Une rançon de 17 000 dollars a dû être versée par l’établissement.
En Suisse romande, des journaux du groupe Tamedia (auquel appartient «Le Matin») ont également été visés par le virus. Sans conséquence jusqu’ici, heureusement.
Ce qui n’a pas été le cas d’une agence immobilière de l’arc lémanique dont l’entier des données (non sauvegardées) a été ainsi pris en otage par des pirates informatiques réclamant une rançon pouvant aller jusqu’à 1500 francs par ordinateur utilisé dans l’entreprise.
Que faire pour éviter Locky?
Le virus Locky vous parvient par un simple mail contenant un dossier Zip, avec un document Microsoft Word. Si vous ouvrez ce dernier, Locky est immédiatement activé.
Il est donc impératif de ne pas ouvrir les mails provenant d’une adresse inconnue ou à l’intitulé étrange. Direction poubelle, sans hésiter! Et puis rappelons que sauver ses fichiers régulièrement sur un disque dur externe est vivement conseillé.
Certains indices font penser aux spécialistes que les pirates qui contrôlent Locky ont organisé une large campagne d’attaque. Une extrême prudence est donc de rigueur.
Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles, cible en ce moment la France. Attention aux pièces jointes ressemblant à des factures et faisant appel à des macros !
Le ransomware Locky, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le CERT-FR, le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars (sa première version date du 19 février). L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.
Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il crypte (transformé en .locky). Classiquement, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin dans le cas présent, selon les données publiées par Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
Diffusion de Locky : haro sur les macros Office
Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Il cible même le fichier wallet.dat, autrement dit le portefeuille de Bitcoin si l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener leur victime à payer la rançon !
La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre malware célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail, prenant par exemple l’apparence d’une facture. Sauf que ce fichier (très souvent un .doc) semble codé de façon inappropriée. C’est là que réside le piège : un message conseille alors à l’utilisateur d’autoriser les macros pour revenir à un codage plus adapté. Cette action permet d’installer sur le disque dur de la victime un fichier qui, à son tour, va aller télécharger le malware à proprement parler. Cette mécanisme à double détente, assez courant, permet aux hackers de modifier et de peaufiner leur malware au fil du temps, sans avoir à bouleverser leur procédure d’installation.
« Il est intéressant de noter que le message électronique a pour sujet « ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom « invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut permettre le blocage ou la mise en place d’alertes via les serveurs mandataires », écrit le CERT-FR. Ce dernier précise toutefois que la méthode de diffusion du malware peut varier : depuis le 29 février, l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile, envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette fois un fichier Javascript dont l’objectif est de télécharger Locky.Kaspersky Lab assure également avoir identifié d’autres méthodes de propagation, notamment via des pages web légitimes sur lesquelles le malware Locky est implanté. Lors d’une simple visite d’une de ces pages, Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant d’éventuelles vulnérabilités logicielles présentes sur sa configuration. L’éditeur d’antivirus ajoute que, dans ses versions les plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».
Attention à la propagation sur le réseau de l’entreprise
Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait et l’invitant à se connecter à des pages décrivant de la marche à suivre pour payer sa rançon et récupérer ses données (ci-dessous). Comme le rappelle Sophos, les effets d’un ransomware comme Locky peuvent être dévastateurs en entreprises, car le malware ne se contente pas de chiffrer le disque C: de sa victime. Il bloque aussi les fichiers des disques auxquels le poste a accès, y compris les disques amovibles, les serveurs de fichiers du réseau ou les machines de tiers (y compris sous Linux ou OS X). Dévastateur si la victime est connectée en tant qu’administrateur du domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».
Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.
Un ransomware qui rebondit grâce au Cloud
« 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.
Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus aux postes de travail mais directement aux serveurs Web, preuve de la volonté des cybercriminels d’exploiter le filon partout où c’est possible. Par ailleurs, Netskope, éditeur spécialisée dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.
• Au total l’an passé, le nombre des utilisateurs attaqués dans le monde par des malwares ciblant des appareils Android a augmenté de 48,3%
• Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016
Le cheval de Troie de cryptage (ransomware) Locky est toujours en activité, et donc Kaspersky Lab en a identifié à ce jour plus de 60 variantes. Selon les analyses de la société, les internautes allemands et français sont les plus exposés à ce risque, suivi par l’Afrique du Sud, l’Autriche, l’Italie, les Etats-Unis, la Chine et l’Inde [1].
Locky utilise en particulier deux vecteurs d’attaque. Il arrive notamment sur l’ordinateur par le biais de fausses factures jointes dans un courriel. Dès que le document est ouvert, le logiciel malveillant est téléchargé à partir d’Internet, à condition que les macros nécessaires pour l’infection soient activées. Par ailleurs, Kaspersky Lab a identifié des pages web légitimes sur lesquelles le malware Locky a été implanté. Lorsqu’un utilisateur visite l’une de ces pages et que les vulnérabilités logicielles correspondantes sont présentes sur son ordinateur, Locky tente de s’installer automatiquement sur ce dernier. Dans les versions les plus récentes, le malware se présente également sous la forme d’une notification de fax ou de scanner. Une fois que Locky [2] s’est frayé un chemin sur l’ordinateur infecté, le cheval de Troie entame ses activités de cryptage puis exige de sa victime une rançon [3].
« Les criminels qui se cachent derrière le ransomware Locky cherchent à en tirer un maximum de profits », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. « Locky n’est pas une blague mais l’œuvre de malfaiteurs qui y ont investi une énergie considérable. »
2016 sera-t-elle l’année du ransomware ?
Les chevaux de Troie de racket et de cryptage ne sont pas des nouveautés. Parmi les exemples connus figurent notamment Coinvault ou Teslacrypt. En outre, les ransomwares mobiles, qui s’attaquent aux utilisateurs d’Android, sont en progression constante. Selon le Kaspersky Security Bulletin 2015/2016 [4], une attaque de ransomware sur six en 2015 a été observée sur des appareils Android. Au total, l’an passé, le nombre des utilisateurs attaqués par ce type de malware dans le monde a augmenté de 48,3% [5].
Locky s’inscrit dans cette tendance. « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », souligne Marco Preuss.
De fait, Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016. L’Allemagne se situe au troisième rang mondial des pays les plus ciblés, derrière la Russie et l’Inde.
Les conseils de sécurité de Kaspersky Lab
Pour se protéger contre une attaque de ransomware, Kaspersky Lab recommande les mesures de sécurité suivantes :
• Se méfier des pièces jointes : ne pas ouvrir les pièces jointes dans les e-mails provenant d’expéditeurs inconnus. En outre, il est conseillé de désactiver les macros dans les documents car Locky s’en sert pour s’implanter sur un ordinateur.
• Réaliser des sauvegardes régulières, afin de pouvoir accéder à nouveau aux données cryptées en cas d’urgence.
• Mettre à jour les logiciels (système d’exploitation, navigateur et tous les autres programmes utilisés) avec les derniers correctifs disponibles.
• Installer de véritables solutions de sécurité : les solutions antivirus modernes telles que Kaspersky Total Security – Multi-Device [6] offrent une protection contre les infections. Des technologies spéciales comme Activity Monitor de Kaspersky Lab permettent de restaurer des données qui ont été cryptées de manière illicite et de rétablir l’état initial du système.
• Ne pas céder au chantage : Kaspersky Lab recommande de ne pas payer la rançon exigée mais plutôt d’avertir les autorités de toute tentative de cyberracket. Les solutions de Kaspersky Lab identifient et bloquent Locky sous l’appellation « Trojan-Ransom.Win32.Locky ». Les bases de données de signatures ont été actualisées en conséquence dès le 7 février 2016. En outre, l’activité malveillante d’un processus Locky en cours a déjà été reconnue par la technologie proactive d’analyse comportementale de Kaspersky Activity Monitor [7], qui offre une protection spéciale contre les ransomwares.
Le malware Locky évolue pour échapper aux outils de détection de malwares. Et cible toujours autant les entreprises françaises. Le rédaction de Silicon.fr, qui en a été une des ses victimes, peut d’ailleurs en témoigner.
« Eteignez les ordinateurs immédiatement ». C’est la consigne que s’est vue intimer la rédaction de Silicon.fr hier, vers 10h30. En cause : la découverte de fichiers comportant le suffixe .locky sur un des serveurs de fichiers partagés de NetMediaEurope, l’éditeur de notre publication. Le signe indiscutable d’une contamination naissante par le ransomware Locky, un malware apparu à la mi-février et qui multiplie les tentatives d’infection dans l’Hexagone.
Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Une fois les données verrouillées, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les données publiées par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
« Une nouvelle variante presque chaque jour »
Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opérateur vient d’ailleurs – tardivement – d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript déclenchant le téléchargement du malware. « Ce n’est malgré tout pas une attaque ciblée au sens où on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de réponse aux incidents de sécurité) de la société de conseil Solucom. Cette technique peut s’automatiser à partir de l’adresse du destinataire. La diversification des techniques de diffusion de l’infection témoigne par contre de la volonté des cybercriminels d’échapper aux filtres anti-spam. »
Le ransomware se diffuse aussi via des sites infectés par les cybercriminels, méthode qui semble être celle exploitée pour contaminer l’éditeur de Silicon.fr. « Le site va utiliser un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide plusieurs codes d’exploitation de vulnérabilités pour des produits web (navigateurs web, plug-in Flash, Java, Silverlight…) », détaille Vincent Nguyen. Objectif : repérer une des vulnérabilités ciblées par le kit dans le navigateur web des visiteurs pour exécuter un code malveillant qui va déclencher l’innoculation du ransomware.
Et ça marche, comme peut en témoigner Apicomm, le prestataire chargé de la gestion du parc de NetMediaEurope. « Une nouvelle variante de Locky apparaît presque chaque jour afin d’échapper aux outils de détection », confirme Rémy Fontaine, son responsable entreprise. Qui précise : « depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage réseau en utilisant la découverte réseau de Windows, alors que la précédente mouture du malware se basait sur les lettres des lecteurs réseaux ». Pour Apicomm, en cas d’infection, la première chose à faire consiste à débrancher le câble réseau et même à éteindre les PC. « En effet, sur les dernières variantes, le fait de couper le réseau empêche la communication entre Locky et le serveur des hackers et donc interrompt le chiffrement. Normalement, le fait de relancer la machine suffit à désactiver le malware », détaille Rémy Fontaine, dont la société est déjà intervenue sur 5 serveurs infectés par les premières variantes et sur deux autres touchés par les dernières moutures. Pour tenter d’enrayer le malware, la société a développé une stratégie de groupe (GPO,Group Policies Object) sur les serveurs permettant de bloquer l’exécution de Locky dans APPDATA, le répertoire où il a l’habitude de se loger.
« Le phénomène touche toutes les entreprises, les plus grandes y compris », assure Vincent Nguyen. Solucom, dont l’activité se concentre sur les grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le sujet et est intervenu, sur site, chez deux de ses clients. « L’un d’entre eux était touché par 5 souches de ransomwares différentes en même temps. C’est ce qui rend la situation complexe, car on n’a pas affaire à une menace unique : aux multiples variantes de Locky s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont toujours un coup de retard », explique le responsable technique du CERT de Solucom, société qui vient de publier quelques conseils sur les façons de réagir à une infection par ransomware.
Locky mute par algorithme
Comme l’explique Cyrille Badeau, le directeur régional de l’éditeur ThreatQuotient, spécialisé dans l’intelligence sur la menace, les malwares mutent en permanence pour contourner les lignes de défense, ce qui explique pourquoi des entreprises même à jour sur leurs technologies de lutte contre les menaces sont piégées… pour peu qu’un utilisateur clique sur un fichier malicieux. « Si on compare une attaque complexe à une molécule composée d’atomes, même si les méthodologies d’attaque, soit la structure des molécules, évoluent très lentement du fait de l’importance du coût associé, les hackers sont capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis plusieurs années, de campagne en campagne, ils remplacent certains atomes devenus trop facilement détectables par de nouveaux éléments ayant le même rôle, mais apparaissant pour la première fois. »
Et Cyrille Badeau de noter que, dans le cas de Locky, l’automatisation des attaques s’est accentuée avec l’utilisation de serveurs de contrôle et de commande (serveurs dits C&C qui pilotent les virus) générés par algorithme. « Impossible pour les défenseurs de prévoir le prochain C&C à surveiller », résume-t-il. Un site comme RansomwareTracker les référence au fil de l’eau, mais une fois les premières infections détectées.
Un Javascript à la place des macros Office
Si la France figure parmi les principaux pays victimes du rançongiciel, le phénomène est global. Les laboratoires SpiderLabs de la société Trustwave estiment que 18 % des 4 millions de spams qu’ils ont analysé dans le courant de la semaine dernière sont liés à des ransomware. Et Locky est la star actuelle dans cette famille d’infections. Les SpiderLabs notent une accélération importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces campagnes (d’envoi de spams visant à diffuser l’outil de téléchargement du virus) ne sont pas continues, mais concentrées, avec des pics à 200 000 e-mails infectieux arrivant sur nos serveurs en une seule heure », écrit Rodel Mendrez, un chercheur de Trustwave.
Et la société de mettre en garde contre la diffusion par spam de scripts Javascript (encapsulés dans des fichiers Zip) déclenchant le téléchargement de Locky, une autre technique exploitée par les cybercriminels. Objectif de la compression en .zip et de l’envoi d’un fichier de petite taille : laisser penser que ledit fichier est bénin.« Nous pensons que le passage au Javascript vise à esquiver les technologies antimalware », renchérit McAfee dans un billet de blog. Cette méthode, aux côtés de celles basées sur de fausses notifications de scanners ou imprimantes et sur la diffusion par des sites infectés, semblent avoir supplanté la première technique de dissémination employée par les cybercriminels, une approche exploitant les macros Office.
500 000 connexions venant de France
Les statistiques fournies par un autre fournisseur d’outils de sécurité, Fortinet, témoignent aussi de la large diffusion de Locky. Sur la base des connexions aux serveurs de commande et contrôle des ransomware détectées par ses sondes de détection d’intrusion (soit 18,6 millions de connexions entre le 17 février et le 2 mars), la société estime que 16,5 % d’entre elles sont liées à Locky. C’est certes beaucoup moins que les connexions dues à la famille Cryptowall (plus de 83%), mais Locky est, contrairement à son aîné, clairement surreprésenté en France, l’Hexagone pesant quelque 15 % des connexions totales dues à la nouvelle terreur des services IT. Ce qui représente, pour les seules sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande et contrôle Locky issues de France, dans le courant de seconde moitié de février.
Locky a récemment fait la démonstration de sa dangerosité outre Atlantique, en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne permet à ce jour de restaurer les fichiers chiffrés par Locky sans posséder la clef que vendent les cybercriminels, même si des travaux sont en cours pour tenter de trouver des solutions de contournement.
L’hôpital américain pris en otage par un ransomware a décidé de payer environ 15 000 euros en bitcoin pour reprendre la main sur son SI.
Le Hollywood Presbyterian Medical Center est devenu un établissement de santé très médiatique. Pas nécessairement pour ses compétences médicales, mais plutôt pour sa faiblesse en matière de sécurité informatique. En effet, en début de semaine, on apprenait que l’hôpital avait été victime d’un ransomware, bloquant une bonne partie du système d’information. Selon les informations de la presse américaine, le cybercriminel demandait 9000 bitcoins, ce qui représente à peu près 3,2 millions d’euros pour un retour à la normale.
Après quelques jours d’incertitudes et d’emballement médiatique, le responsable du centre médical, Allen Stefanek, est sorti de son silence pour donner quelques détails. Le plus important est qu’il a été obligé de payer une rançon pour reprendre le contrôle des PC. Mais les sommes annoncées ne sont pas mirobolantes, le dirigeant explique qu’il a versé « 40 bitcoins soit l’équivalent de 17 000 dollars (15 000 euros) ». Il justifie ce paiement comme étant, « la façon la plus rapide et la plus efficace pour restaurer notre système et les fonctions administratives ». Aucun détail n’a été fourni sur le niveau réel de cette attaque, mais Allen Stefanek assure « les soins des patients n’ont pas été affectés, ni les dossiers des patients ».
Les entreprises n’hésitent plus à payer
Pour autant, des mesures de sécurité ont été prises pour palier le blocage du système. Les urgences ont été redirigées vers un autre hôpital, le personnel de santé redécouvre les crayons et le papier pour enregistrer les informations patients et le fax pour communiquer avec les autorités. L’attaque a eu lieu le 5 février dernier, mais la direction de l’hôpital a attendu la semaine dernière pour informer la police de Los Angeles du problème. Le FBI est aussi de la partie en prenant en charge l’enquête. A noter que la rançon a été payée avant que les autorités judiciaires soient sollicitées.
Cette attaque apporte plusieurs enseignements. Le premier est la montée en puissance inexorable des rançongiciels. Les cybercriminels redoublent de sophistication, allant de la programmation (JavaScript) ou de l’intégration du service client avec un chat. La création d’un ransomware est un investissement très lucratif. Surtout que les entreprises n’hésitent pas à payer pour déverrouiller les PC infectés. Une étude de Skyhigh montre que près d’un quart des entreprises sont prêtes à payer une rançon et 15% seraient capables d’y mettre 1 millions de dollars. La nouvelle plaie de la sécurité pourrait être combattue, mais cette bataille nécessite une politique un peu plus volontariste des autorités.
Spécialisé dans le vol de données bancaires, Dridex est toujours actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la France, avertit le CERT-FR et une société de sécurité.
Le botnet Dridex, que les autorités expliquaient avoir démantelé il y a deux semaines, serait toujours actif… et ciblerait en particulier la France. La société américaine, spécialiste de la sécurité des points d’accès, Invincea explique en effet avoir détecté 60 instances du botnet ciblant des utilisateurs français avec le malware Dridex, spécialisé dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit Invincea. Selon la société, qui explique que ses observations portant sur le retour du botnet remontent au 22 octobre, le malware envoyé par les cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.
La menace est confirmée par le CERT-FR, qui a émis une alerte au sujet de Dridex le 23 octobre. « Depuis la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague de pourriels (de type Dridex, NDLR) dont le taux de blocage par les passerelles anti-pourriel est relativement faible », écrit l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information). Le centre note que ces courriels sont souvent écrits dans un français sans faute.
Radical : désactiver les macros
L’attaque prend en effet la forme d’une campagne de phishing, des mails renfermant des documents Microsoft Office qui semblent renfermer des factures émanant de magasins, d’hôtels ou d’organismes divers (la fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents, une macro VBScript ou Visual Basic est employée pour assembler le malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à construire la souche infectieuse directement sur le poste de la cible, afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, rappelle le centre de réponse aux incidents de l’administration française.
Suite à l’arrestation d’individus soupçonnés de liens avec le cybercrime l’été dernier, le FBI américain, en partenariat avec les autorités britanniques, a annoncé mi-octobre le démantèlement des infrastructures de commande et contrôle de Dridex. Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays, engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
De son côté, Lexsi a publié ses observations sur Dridex & Bruteres. Une vue sur les mécanismes du botnet utilisé pour envoyer massivement des millions de pourriels via seulement une trentaine de serveurs SMTP.
Hier, le FBI, la NCA (la National Crime Agency est une agence du Royaume-Uni) et bien d’autres agences gouvernementales autour du monde ont agit contre l’un des malwares les plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.
Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.
Dridex detections during 2015
Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.
Top ten countries by number of Dridex detections in 2015
Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.
Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.
Bugat Botnet Administrator Arrested and Malware Disabled
U.S. Department of Justice October 13, 2015
A sophisticated malware package designed to steal banking and other credentials from infected computers has been disrupted, and charges have been filed in the Western District of Pennsylvania against a Moldovan administrator of the botnet known as “Bugat,” “Cridex” or “Dridex.” Actions taken by the U.K. and the U.S. substantially disrupted the botnet.
Assistant Attorney General Leslie R. Caldwell of the Justice Department’s Criminal Division, U.S. Attorney David J. Hickton of the Western District of Pennsylvania and Special Agent in Charge Scott S. Smith of the FBI’s Pittsburgh Division made the announcement today.
Andrey Ghinkul, aka Andrei Ghincul and Smilex, 30, of Moldova, was charged in a nine-count indictment unsealed today in the Western District of Pennsylvania with criminal conspiracy, unauthorized computer access with intent to defraud, damaging a computer, wire fraud and bank fraud. Ghinkul was arrested on Aug. 28, 2015 in Cyprus. The United States is seeking his extradition.
“The steps announced today are another example of our global and innovative approach to combatting cybercrime,” said Assistant Attorney General Caldwell. “Our relationships with counterparts all around the world are helping us go after both malicious hackers and their malware. The Bugat/Dridex botnet, run by criminals in Moldova and elsewhere, harmed American citizens and entities. With our partners here and overseas, we will shut down these cross-border criminal schemes.”
“Through a technical disruption and criminal indictment we have struck a blow to one of the most pernicious malware threats in the world,” said U.S. Attorney Hickton.
“Cyber criminals often reach across international borders, but this operation demonstrates our determination to shut them down no matter where they are,” said Executive Assistant Director Robert Anderson Jr. of the FBI’s Criminal, Cyber, Response and Services Branch. “The criminal charges announced today would not have been possible without the cooperation of our partners in international law enforcement and private sector. We continue to strengthen those relationships and find innovative ways to counter cyber criminals.”
According to the indictment, Ghinkul was part of a criminal conspiracy that disseminated Bugat, which is a multifunction malware package that automates the theft of confidential personal and financial information, such as online banking credentials, from infected computers through the use of keystroke logging and web injects. It is generally distributed through “phishing,” an e-mail fraud method where legitimate-looking e-mails are distributed to victims in an attempt to obtain personal or financial information. Bugat is specifically designed to defeat antivirus and other protective measures employed by victims. The FBI estimates at least $10 million in direct loss domestically can be attributed to Bugat.
The indictment alleges that Ghinkul and his co-conspirators used the malware to steal banking credentials and then, using the stolen credentials, to initiate fraudulent electronic funds transfers of millions of dollars from the victims’ bank accounts into the accounts of money mules, who further transferred the stolen funds to other members of the conspiracy. Specifically, according to the indictment, on Dec. 16, 2011, Ghinkul and others allegedly attempted to cause the electronic transfer of $999,000 from the Sharon, Pennsylvania, City School District’s account at First National Bank to an account in Kiev, Ukraine, using account information obtained through a phishing e-mail. In addition, Ghinkul and others allegedly caused the international transfer on Aug. 31, 2012, of $2,158,600 from a Penneco Oil account at First Commonwealth Bank to an account in Krasnodar, Russia, and the international transfer on Sept. 4, 2012, of $1,350,000 from a Penneco Oil account at First Commonwealth Bank to an account in Minsk, Belarus. Finally, the indictment alleges that on Sept. 4, 2012, Ghinkul attempted to cause the electronic transfer of $76,520 from a Penneco Oil account at First Commonwealth Bank to an account in Philadelphia. In all three instances, the company’s account information was allegedly obtained through a phishing e-mail sent to a Penneco Oil employee.
In addition to the criminal charges announced today, the United States obtained a civil injunction in the Western District of Pennsylvania authorizing the FBI to take measures to redirect automated requests by victim computers for additional instructions to substitute servers.
The charges and allegations contained in an indictment are merely accusations. The defendant is presumed innocent until and unless proven guilty.
The investigation is being conducted by the FBI. Other agencies and organizations partnering in this effort include: the Department of Homeland Security’s U.S.-Computer Emergency Readiness Team (US-CERT), the United Kingdom’s National Crime Agency, Europol’s EC3, German Bundeskriminalamt (BKA), Dell SecureWorks, Fox-IT, S21sec, Abuse.ch, the Shadowserver Foundation, Spamhaus and the Moldovan General Inspectorate of Police Centre for Combating Cyber Crime, the Prosecutor General’s Office Cyber Crimes Unit and the Ministry of Interior Forensics Unit.
The case is being prosecuted by Assistant U.S. Attorneys Mary McKeen Houghton and Margaret E. Picking of the Western District of Pennsylvania. The civil action to disrupt the Bugat malware is led by Senior Trial Attorney Richard D. Green of the Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Michael A. Comber of the Western District of Pennsylvania. The Criminal Division’s Office of International Affairs provided significant assistance throughout the criminal and civil investigations.
Victims of Bugat/Dridex may use the following webpage created by US-CERT for assistance in removing the malware: https://www.us-cert.gov/dridex.
Anyone claiming an interest in any of the property seized or actions enjoined pursuant to the court orders described in this release is advised to review the court documents below for notice of the full contents of the orders.
Arrestations de deux hommes, un russe et un moldave, soupçonnés d’avoir des rôles clefs dans le développement et la maintenance de Citadel et de Dridex, des programmes malveillants sophistiqués spécialisés dans le vol d’identifiants et de données bancaires.
Le premier homme, un moldave de 30 ans, était recherché par les autorités U.S. Il a été appréhendé par les autorités locales le vendredi 28 août 2015 alors qu’il passait ses vacances avec sa femme dans la ville de Páfos à Chypre. Il serait à lui seul responsable de fraudes bancaires estimées à ~ 3.5 millions de dollars. L’homme est une figure du « Business Club », un gang de l’Europe de l’Est connu pour avoir subtilisé plus de 100 millions de dollars à des établissements bancaires & financiers. Il serait fortement impliqué dans le développement de Dridex que vous avez peut-être eu lors de campagnes de courriels malicieux avec pièces jointes en Word/Excel.
Le second homme, un russe de 27 ans, a été arrêté à Fredrikstad en Norvège en octobre dernier. Au départ, les médias ont dressés le portrait de l’inconnu à partir du sobriquet « Mark » et petit à petit sont arrivés aux conclusions qu’il s’agirait peut être d’Aquabox, le pseudo derrière Citadel, un malware basé sur le code de ZeuS , qui aurait facilité entre autre les piratages de plusieurs entreprises pétrochimiques européennes.
Cinq personnes ont été arrêtées en Ukraine soupçonnées d’être derrière les tristement réputés malwares bancaires ZeuS et SpyEye, dont l’un des dignes successeurs se nomme GameOverZeus.
Découvert en 2007, le malware bancaire Zeus permet de siphonner des comptes en ligne en toute impunité grâce à des techniques telles que le phishing et autres spams. Grâce à elles, les pirates récoltaient mots de passe, identifiants, numéro de comptes bancaires et toutes informations nécessaires pour accéder à des comptes bancaires en ligne.
Grâce à l’action conjointe d’Europol et d’Eurojust, réunissant 6 pays, cinq cybercriminels ont été arrêtés entre le 18 et le 19 juin, soupçonnés de faire partie du gang responsable du développement, de l’exploitation et du déploiement des logiciels malveillants et chevaux de Troie bancaires ZeuS et SpyEye ainsi que du blanchiment de l’argent collecté. Par ailleurs, du matériel informatique a été saisi dans huit maisons réparties dans quatre villes différentes en Ukraine.
Ces malwares seraient responsables de l’infection de dizaines de milliers d’ordinateurs pour un préjudice financier évalué à plus de 2 millions d’euros. En effet, le gang aurait utilisé ces logiciels malvaillants pour attaquer des systèmes bancaires et subtiliser l’argent de plusieurs banques en Europe et hors UE.
Chacun dans leur spécialité, ils créaient les logiciels, vérolaient les systèmes, récoltaient les données bancaires et blanchissaient l’argent volé, notamment grâce à des réseaux de « mules ». « Très actif », le gang louait parfois ses services à des tiers ou recherchait de « nouveaux partenaires » pour réaliser leurs forfaits et échangeait notamment les informations d’identification récoltées, précise Europol dans un communiqué.
« Europol a travaillé avec une équipe internationale d’enquêteurs pour faire tomber un groupe cybercriminel très destructeur. C’est l’une des opérations les importantes coordonnées par l’agence au cours des dernières années », s’est ainsi félicité Rob Wainwright, directeur d’Europol.
Cette opération fait partie intégrante d’une action plus large entamée depuis 2013 par l’équipe commune d’enquête (Joint investigation team, JIT) regroupant l’Autriche, la Belgique, la Finlande, les Pays-Bas mais aussi la Norvège et le Royaume-Uni et ayant abouti à 60 arrestations à ce jour.
SVP ne vous cachez pas donnez moi votre nom afin que je puisse vous répondre