Des ravages du trojan crypto-rançonneur Locky

La première victime connue est le Hollywood Presbyterian Medical Center, attaqué le 5 février 2016.

Si le responsable du centre médical a tenu à rassurer ses patients sur la totale sécurité des soins dispensés dans son établissement jusqu’au paiement d’une rançon d’environ 15000 euros, il est évident qu’il ne peut leur garantir qu’ils ne seront pas eux-mêmes victimes de chantages ou autres désagréments en conséquence du vol de leurs dossiers médicaux…

 

http://www.lematin.ch/high-tech/Gare-au-virus-Locky-qui-sequestre-vos-fichiers/story/27796795

Gare au virus Locky qui séquestre vos fichiers

Informatique

Ce virus fait actuellement des ravages, y compris en Romandie. La prudence est de rigueur. Voici à quoi il vous faut faire attention.

Par Laurent Siebenmann. Mis à jour le 18.03.2016
Des ravages du trojan crypto-rançonneur Locky dans Crime 2666346_pic_970x641

1/2 Voici le type de mail qui vous est adressé, contenant le virus Locky. Attention à ne surtout pas cliquer sur la pièce jointe. Et jetez vite fait ce mail à la poubelle!

Le Matin

Attention au virus Locky! Utilisant la même technique de vol de données que le cheval de Troie Dridex (les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex), il permet aux pirates informatiques de chiffrer vos données et vous en bloquer l’accès.

Le versement d’une rançon est ensuite exigé par les hackers, ceci afin que les victimes obtiennent la clé de déchiffrement qui leur permettra de récupérer les fichiers.

Evidemment, à la condition expresse que les pirates tiennent parole, sans quoi les fichiers sont simplement irrécupérables.

Des exemples? Aux Etats-Unis, le Hollywood Presbyterian Medical Center a été stoppé après une infection par le Locky. Une rançon de 17 000 dollars a dû être versée par l’établissement.

En Suisse romande, des journaux du groupe Tamedia (auquel appartient «Le Matin») ont également été visés par le virus. Sans conséquence jusqu’ici, heureusement.

Ce qui n’a pas été le cas d’une agence immobilière de l’arc lémanique dont l’entier des données (non sauvegardées) a été ainsi pris en otage par des pirates informatiques réclamant une rançon pouvant aller jusqu’à 1500 francs par ordinateur utilisé dans l’entreprise.

Que faire pour éviter Locky?

Le virus Locky vous parvient par un simple mail contenant un dossier Zip, avec un document Microsoft Word. Si vous ouvrez ce dernier, Locky est immédiatement activé.

Il est donc impératif de ne pas ouvrir les mails provenant d’une adresse inconnue ou à l’intitulé étrange. Direction poubelle, sans hésiter! Et puis rappelons que sauver ses fichiers régulièrement sur un disque dur externe est vivement conseillé.

Certains indices font penser aux spécialistes que les pirates qui contrôlent Locky ont organisé une large campagne d’attaque. Une extrême prudence est donc de rigueur.

(Le Matin)

Créé: 18.03.2016, 11h04

 

http://www.silicon.fr/ransomware-locky-inonde-france-fausses-factures-free-140742.html

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

 

ransomware

Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles, cible en ce moment la France. Attention aux pièces jointes ressemblant à des factures et faisant appel à des macros !

Le ransomware Locky, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le CERT-FR, le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars (sa première version date du 19 février). L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.

Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il crypte (transformé en .locky). Classiquement, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin dans le cas présent, selon les données publiées par Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).

Diffusion de Locky : haro sur les macros Office

Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Il cible même le fichier wallet.dat, autrement dit le portefeuille de Bitcoin si l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener leur victime à payer la rançon !

La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre malware célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail, prenant par exemple l’apparence d’une facture. Sauf que ce fichier (très souvent un .doc) semble codé de façon inappropriée. C’est là que réside le piège : un message conseille alors à l’utilisateur d’autoriser les macros pour revenir à un codage plus adapté. Cette action permet d’installer sur le disque dur de la victime un fichier qui, à son tour, va aller télécharger le malware à proprement parler. Cette mécanisme à double détente, assez courant, permet aux hackers de modifier et de peaufiner leur malware au fil du temps, sans avoir à bouleverser leur procédure d’installation.

locky2

« Il est intéressant de noter que le message électronique a pour sujet « ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom « invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut permettre le blocage ou la mise en place d’alertes via les serveurs mandataires », écrit le CERT-FR. Ce dernier précise toutefois que la méthode de diffusion du malware peut varier : depuis le 29 février, l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile, envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette fois un fichier Javascript dont l’objectif est de télécharger Locky.Kaspersky Lab assure également avoir identifié d’autres méthodes de propagation, notamment via des pages web légitimes sur lesquelles le malware Locky est implanté. Lors d’une simple visite d’une de ces pages, Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant d’éventuelles vulnérabilités logicielles présentes sur sa configuration. L’éditeur d’antivirus ajoute que, dans ses versions les plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».

Attention à la propagation sur le réseau de l’entreprise

Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait et l’invitant à se connecter à des pages décrivant de la marche à suivre pour payer sa rançon et récupérer ses données (ci-dessous). Comme le rappelle Sophos, les effets d’un ransomware comme Locky peuvent être dévastateurs en entreprises, car le malware ne se contente pas de chiffrer le disque C: de sa victime. Il bloque aussi les fichiers des disques auxquels le poste a accès, y compris les disques amovibles, les serveurs de fichiers du réseau ou les machines de tiers (y compris sous Linux ou OS X). Dévastateur si la victime est connectée en tant qu’administrateur du domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».

locky1

Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.

Un ransomware qui rebondit grâce au Cloud

« 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.

Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus aux postes de travail mais directement aux serveurs Web, preuve de la volonté des cybercriminels d’exploiter le filon partout où c’est possible. Par ailleurs, Netskope, éditeur spécialisée dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.

A lire aussi :

Ransomware : un tiers des Français prêts à payer et seulement 188 €

Le ransomware prospère grâce à l’apathie des autorités

Ransomware : un retour sur investissement très lucratif

 

https://www.globalsecuritymag.fr/Kaspersky-Lab-a-identifie-a-ce,20160303,60214.html

Kaspersky Lab a identifié à ce jour plus de 60 variantes du ransomware Locky L’Allemagne et la France sont les pays plus touchés

mars 2016 par Kaspersky Lab

• Au total l’an passé, le nombre des utilisateurs attaqués dans le monde par des malwares ciblant des appareils Android a augmenté de 48,3%
• Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016
Le cheval de Troie de cryptage (ransomware) Locky est toujours en activité, et donc Kaspersky Lab en a identifié à ce jour plus de 60 variantes. Selon les analyses de la société, les internautes allemands et français sont les plus exposés à ce risque, suivi par l’Afrique du Sud, l’Autriche, l’Italie, les Etats-Unis, la Chine et l’Inde [1].

Locky utilise en particulier deux vecteurs d’attaque. Il arrive notamment sur l’ordinateur par le biais de fausses factures jointes dans un courriel. Dès que le document est ouvert, le logiciel malveillant est téléchargé à partir d’Internet, à condition que les macros nécessaires pour l’infection soient activées. Par ailleurs, Kaspersky Lab a identifié des pages web légitimes sur lesquelles le malware Locky a été implanté. Lorsqu’un utilisateur visite l’une de ces pages et que les vulnérabilités logicielles correspondantes sont présentes sur son ordinateur, Locky tente de s’installer automatiquement sur ce dernier. Dans les versions les plus récentes, le malware se présente également sous la forme d’une notification de fax ou de scanner. Une fois que Locky [2] s’est frayé un chemin sur l’ordinateur infecté, le cheval de Troie entame ses activités de cryptage puis exige de sa victime une rançon [3].

« Les criminels qui se cachent derrière le ransomware Locky cherchent à en tirer un maximum de profits », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. « Locky n’est pas une blague mais l’œuvre de malfaiteurs qui y ont investi une énergie considérable. »

2016 sera-t-elle l’année du ransomware ?

Les chevaux de Troie de racket et de cryptage ne sont pas des nouveautés. Parmi les exemples connus figurent notamment Coinvault ou Teslacrypt. En outre, les ransomwares mobiles, qui s’attaquent aux utilisateurs d’Android, sont en progression constante. Selon le Kaspersky Security Bulletin 2015/2016 [4], une attaque de ransomware sur six en 2015 a été observée sur des appareils Android. Au total, l’an passé, le nombre des utilisateurs attaqués par ce type de malware dans le monde a augmenté de 48,3% [5].

Locky s’inscrit dans cette tendance. « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », souligne Marco Preuss.

De fait, Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016. L’Allemagne se situe au troisième rang mondial des pays les plus ciblés, derrière la Russie et l’Inde.

Les conseils de sécurité de Kaspersky Lab

Pour se protéger contre une attaque de ransomware, Kaspersky Lab recommande les mesures de sécurité suivantes :
• Se méfier des pièces jointes : ne pas ouvrir les pièces jointes dans les e-mails provenant d’expéditeurs inconnus. En outre, il est conseillé de désactiver les macros dans les documents car Locky s’en sert pour s’implanter sur un ordinateur.
• Réaliser des sauvegardes régulières, afin de pouvoir accéder à nouveau aux données cryptées en cas d’urgence.
• Mettre à jour les logiciels (système d’exploitation, navigateur et tous les autres programmes utilisés) avec les derniers correctifs disponibles.
• Installer de véritables solutions de sécurité : les solutions antivirus modernes telles que Kaspersky Total Security – Multi-Device [6] offrent une protection contre les infections. Des technologies spéciales comme Activity Monitor de Kaspersky Lab permettent de restaurer des données qui ont été cryptées de manière illicite et de rétablir l’état initial du système.
• Ne pas céder au chantage : Kaspersky Lab recommande de ne pas payer la rançon exigée mais plutôt d’avertir les autorités de toute tentative de cyberracket. Les solutions de Kaspersky Lab identifient et bloquent Locky sous l’appellation « Trojan-Ransom.Win32.Locky ». Les bases de données de signatures ont été actualisées en conséquence dès le 7 février 2016. En outre, l’activité malveillante d’un processus Locky en cours a déjà été reconnue par la technologie proactive d’analyse comportementale de Kaspersky Activity Monitor [7], qui offre une protection spéciale contre les ransomwares.


[1] http://newsroom.kaspersky.eu/filead… / L’analyse de Kaspersky Lab s’appuie sur des données anonymes obtenues via Kaspersky Security Network (KSN) dans le cloud, avec la participation volontaire des clients de la société. Les données recueillies par Kaspersky Lab sont traitées de manière anonyme et confidentielle. Aucune information personnelle (mot de passe, par exemple) n’est collectée. KSN fournit à Kaspersky Lab des informations sur les tentatives d’infection et les attaques de logiciels malveillants. Ces informations contribuent en particulier à améliorer la protection en temps réel des clients de Kaspersky Lab. Des informations détaillées sur KSN sont disponibles dans un livre blanc : http://www.kaspersky.com/images/KES….
[2] http://newsroom.kaspersky.eu/filead…
[3] http://newsroom.kaspersky.eu/filead… http://newsroom.kaspersky.eu/filead…
[4] https://de.securelist.com/analysis/… [5] http://newsroom.kaspersky.eu/filead…
[6] http://www.kaspersky.com/de/total-s…
[7] http://www.kaspersky.com/images/Kas…

 

http://www.silicon.fr/ransomware-locky-multiplier-victimes-france-141498.html

Le ransomware Locky mute pour multiplier ses victimes en France

 

ransomware

Le malware Locky évolue pour échapper aux outils de détection de malwares. Et cible toujours autant les entreprises françaises. Le rédaction de Silicon.fr, qui en a été une des ses victimes, peut d’ailleurs en témoigner.

« Eteignez les ordinateurs immédiatement ». C’est la consigne que s’est vue intimer la rédaction de Silicon.fr hier, vers 10h30. En cause : la découverte de fichiers comportant le suffixe .locky sur un des serveurs de fichiers partagés de NetMediaEurope, l’éditeur de notre publication. Le signe indiscutable d’une contamination naissante par le ransomware Locky, un malware apparu à la mi-février et qui multiplie les tentatives d’infection dans l’Hexagone.

Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Une fois les données verrouillées, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les données publiées par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).

« Une nouvelle variante presque chaque jour »

Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opérateur vient d’ailleurs – tardivement – d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript déclenchant le téléchargement du malware. « Ce n’est malgré tout pas une attaque ciblée au sens où on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de réponse aux incidents de sécurité) de la société de conseil Solucom. Cette technique peut s’automatiser à partir de l’adresse du destinataire. La diversification des techniques de diffusion de l’infection témoigne par contre de la volonté des cybercriminels d’échapper aux filtres anti-spam. »

Le ransomware se diffuse aussi via des sites infectés par les cybercriminels, méthode qui semble être celle exploitée pour contaminer l’éditeur de Silicon.fr. « Le site va utiliser un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide plusieurs codes d’exploitation de vulnérabilités pour des produits web (navigateurs web, plug-in Flash, Java, Silverlight…) », détaille Vincent Nguyen. Objectif : repérer une des vulnérabilités ciblées par le kit dans le navigateur web des visiteurs pour exécuter un code malveillant qui va déclencher l’innoculation du ransomware.

Et ça marche, comme peut en témoigner Apicomm, le prestataire chargé de la gestion du parc de NetMediaEurope. « Une nouvelle variante de Locky apparaît presque chaque jour afin d’échapper aux outils de détection », confirme Rémy Fontaine, son responsable entreprise. Qui précise : « depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage réseau en utilisant la découverte réseau de Windows, alors que la précédente mouture du malware se basait sur les lettres des lecteurs réseaux ». Pour Apicomm, en cas d’infection, la première chose à faire consiste à débrancher le câble réseau et même à éteindre les PC. « En effet, sur les dernières variantes, le fait de couper le réseau empêche la communication entre Locky et le serveur des hackers et donc interrompt le chiffrement. Normalement, le fait de relancer la machine suffit à désactiver le malware », détaille Rémy Fontaine, dont la société est déjà intervenue sur 5 serveurs infectés par les premières variantes et sur deux autres touchés par les dernières moutures. Pour tenter d’enrayer le malware, la société a développé une stratégie de groupe (GPO,Group Policies Object) sur les serveurs permettant de bloquer l’exécution de Locky dans APPDATA, le répertoire où il a l’habitude de se loger.

« Le phénomène touche toutes les entreprises, les plus grandes y compris », assure Vincent Nguyen. Solucom, dont l’activité se concentre sur les grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le sujet et est intervenu, sur site, chez deux de ses clients. « L’un d’entre eux était touché par 5 souches de ransomwares différentes en même temps. C’est ce qui rend la situation complexe, car on n’a pas affaire à une menace unique : aux multiples variantes de Locky s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont toujours un coup de retard », explique le responsable technique du CERT de Solucom, société qui vient de publier quelques conseils sur les façons de réagir à une infection par ransomware.

Locky mute par algorithme

Comme l’explique Cyrille Badeau, le directeur régional de l’éditeur ThreatQuotient, spécialisé dans l’intelligence sur la menace, les malwares mutent en permanence pour contourner les lignes de défense, ce qui explique pourquoi des entreprises même à jour sur leurs technologies de lutte contre les menaces sont piégées… pour peu qu’un utilisateur clique sur un fichier malicieux. « Si on compare une attaque complexe à une molécule composée d’atomes, même si les méthodologies d’attaque, soit la structure des molécules, évoluent très lentement du fait de l’importance du coût associé, les hackers sont capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis plusieurs années, de campagne en campagne, ils remplacent certains atomes devenus trop facilement détectables par de nouveaux éléments ayant le même rôle, mais apparaissant pour la première fois. »

Et Cyrille Badeau de noter que, dans le cas de Locky, l’automatisation des attaques s’est accentuée avec l’utilisation de serveurs de contrôle et de commande (serveurs dits C&C qui pilotent les virus) générés par algorithme. « Impossible pour les défenseurs de prévoir le prochain C&C à surveiller », résume-t-il. Un site comme RansomwareTracker les référence au fil de l’eau, mais une fois les premières infections détectées.

Un Javascript à la place des macros Office

Si la France figure parmi les principaux pays victimes du rançongiciel, le phénomène est global. Les laboratoires SpiderLabs de la société Trustwave estiment que 18 % des 4 millions de spams qu’ils ont analysé dans le courant de la semaine dernière sont liés à des ransomware. Et Locky est la star actuelle dans cette famille d’infections. Les SpiderLabs notent une accélération importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces campagnes (d’envoi de spams visant à diffuser l’outil de téléchargement du virus) ne sont pas continues, mais concentrées, avec des pics à 200 000 e-mails infectieux arrivant sur nos serveurs en une seule heure », écrit Rodel Mendrez, un chercheur de Trustwave.

Et la société de mettre en garde contre la diffusion par spam de scripts Javascript (encapsulés dans des fichiers Zip) déclenchant le téléchargement de Locky, une autre technique exploitée par les cybercriminels. Objectif de la compression en .zip et de l’envoi d’un fichier de petite taille : laisser penser que ledit fichier est bénin.« Nous pensons que le passage au Javascript vise à esquiver les technologies antimalware », renchérit McAfee dans un billet de blog. Cette méthode, aux côtés de celles basées sur de fausses notifications de scanners ou imprimantes et sur la diffusion par des sites infectés, semblent avoir supplanté la première technique de dissémination employée par les cybercriminels, une approche exploitant les macros Office.

500 000 connexions venant de France

Les statistiques fournies par un autre fournisseur d’outils de sécurité, Fortinet, témoignent aussi de la large diffusion de Locky. Sur la base des connexions aux serveurs de commande et contrôle des ransomware détectées par ses sondes de détection d’intrusion (soit 18,6 millions de connexions entre le 17 février et le 2 mars), la société estime que 16,5 % d’entre elles sont liées à Locky. C’est certes beaucoup moins que les connexions dues à la famille Cryptowall (plus de 83%), mais Locky est, contrairement à son aîné, clairement surreprésenté en France, l’Hexagone pesant quelque 15 % des connexions totales dues à la nouvelle terreur des services IT. Ce qui représente, pour les seules sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande et contrôle Locky issues de France, dans le courant de seconde moitié de février.

Capture d’écran 2016-03-10 à 18.22.07
Les statistiques de Fortinet sur Locky.

 

Locky a récemment fait la démonstration de sa dangerosité outre Atlantique, en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne permet à ce jour de restaurer les fichiers chiffrés par Locky sans posséder la clef que vendent les cybercriminels, même si des travaux sont en cours pour tenter de trouver des solutions de contournement.

A lire aussi :

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Le ransomware prospère grâce à l’apathie des autorités

Ransomware : un retour sur investissement très lucratif

 

http://www.silicon.fr/hopital-us-ranconne-paye-pour-retrouver-son-reseau-139311.html

Ransomware : un hôpital US paye pour retrouver son réseau

 

hopital machine

L’hôpital américain pris en otage par un ransomware a décidé de payer environ 15 000 euros en bitcoin pour reprendre la main sur son SI.

Le Hollywood Presbyterian Medical Center est devenu un établissement de santé très médiatique. Pas nécessairement pour ses compétences médicales, mais plutôt pour sa faiblesse en matière de sécurité informatique. En effet, en début de semaine, on apprenait que l’hôpital avait été victime d’un ransomware, bloquant une bonne partie du système d’information. Selon les informations de la presse américaine, le cybercriminel demandait 9000 bitcoins, ce qui représente à peu près 3,2 millions d’euros pour un retour à la normale.

Après quelques jours d’incertitudes et d’emballement médiatique, le responsable du centre médical, Allen Stefanek, est sorti de son silence pour donner quelques détails. Le plus important est qu’il a été obligé de payer une rançon pour reprendre le contrôle des PC. Mais les sommes annoncées ne sont pas mirobolantes, le dirigeant explique qu’il a versé « 40 bitcoins soit l’équivalent de 17 000 dollars (15 000 euros) ». Il justifie ce paiement comme étant, « la façon la plus rapide et la plus efficace pour restaurer notre système et les fonctions administratives ». Aucun détail n’a été fourni sur le niveau réel de cette attaque, mais Allen Stefanek assure « les soins des patients n’ont pas été affectés, ni les dossiers des patients ».

Les entreprises n’hésitent plus à payer

Pour autant, des mesures de sécurité ont été prises pour palier le blocage du système. Les urgences ont été redirigées vers un autre hôpital, le personnel de santé redécouvre les crayons et le papier pour enregistrer les informations patients et le fax pour communiquer avec les autorités. L’attaque a eu lieu le 5 février dernier, mais la direction de l’hôpital a attendu la semaine dernière pour informer la police de Los Angeles du problème. Le FBI est aussi de la partie en prenant en charge l’enquête. A noter que la rançon a été payée avant que les autorités judiciaires soient sollicitées.

Cette attaque apporte plusieurs enseignements. Le premier est la montée en puissance inexorable des rançongiciels. Les cybercriminels redoublent de sophistication, allant de la programmation (JavaScript) ou de l’intégration du service client avec un chat. La création d’un ransomware est un investissement très lucratif. Surtout que les entreprises n’hésitent pas à payer pour déverrouiller les PC infectés. Une étude de Skyhigh montre que près d’un quart des entreprises sont prêtes à payer une rançon et 15% seraient capables d’y mettre 1 millions de dollars. La nouvelle plaie de la sécurité pourrait être combattue, mais cette bataille nécessite une politique un peu plus volontariste des autorités.

A lire aussi :

Les implants médicaux, prochaines cibles des ransomwares
Un ransomware change le code PIN des terminaux Android

 

http://www.silicon.fr/vol-donnees-bancaires-malware-dridex-cible-france-129997.html

Vol de données bancaires : le malware Dridex cible la France

 

crédit photo © GlebStock - Shutterstock

Spécialisé dans le vol de données bancaires, Dridex est toujours actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la France, avertit le CERT-FR et une société de sécurité.

Le botnet Dridex, que les autorités expliquaient avoir démantelé il y a deux semaines, serait toujours actif… et ciblerait en particulier la France. La société américaine, spécialiste de la sécurité des points d’accès, Invincea explique en effet avoir détecté 60 instances du botnet ciblant des utilisateurs français avec le malware Dridex, spécialisé dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit Invincea. Selon la société, qui explique que ses observations portant sur le retour du botnet remontent au 22 octobre, le malware envoyé par les cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.

La menace est confirmée par le CERT-FR, qui a émis une alerte au sujet de Dridex le 23 octobre. « Depuis la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague de pourriels (de type Dridex, NDLR) dont le taux de blocage par les passerelles anti-pourriel est relativement faible », écrit l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information). Le centre note que ces courriels sont souvent écrits dans un français sans faute.

Radical : désactiver les macros

 

dridex
Une capture d’écran fournie montrant le nom des fichiers et fournie par Invincea.

 

L’attaque prend en effet la forme d’une campagne de phishing, des mails renfermant des documents Microsoft Office qui semblent renfermer des factures émanant de magasins, d’hôtels ou d’organismes divers (la fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents, une macro VBScript ou Visual Basic est employée pour assembler le malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à construire la souche infectieuse directement sur le poste de la cible, afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».

Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, rappelle le centre de réponse aux incidents de l’administration française.

Suite à l’arrestation d’individus soupçonnés de liens avec le cybercrime l’été dernier, le FBI américain, en partenariat avec les autorités britanniques, a annoncé mi-octobre le démantèlement des infrastructures de commande et contrôle de Dridex. Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays, engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.

 

http://forum.malekal.com/dridex-spam-facture-email-word-excel-t53343.html

Les campagnes Dridex continuent

 

Messagepar Malekal_morte » 29 Oct 2015 14:55

Malgré l’arrestation de cybercriminels impliqués dans la création du malware Dridex ( lire : Deux hommes en relation avec Dridex et Citadel interpelés & Botnet Dridex, arrestation du cerveau )

Les campagnes Dridex via des emails malicieux continuent d’arroser la France & l’Europe depuis plusieurs mois ( lire : Les nouvelles campagnes d’emails Word malicieux & le bulletin de CERT-FR )

Image

Zscaler a publié quelques chiffres sur les activités de Dridex, comme d’habitude, l’usage de fichiers signés continue ( lire : Étude IBM: Les malware signés sont en constante augmentation) :

Dridex_repartition.png
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
Dridex_repartition_2.png
Malgré l’arrestation du cerveau, les campagnes Dridex continuent

 

De son côté, Lexsi a publié ses observations sur Dridex & Bruteres. Une vue sur les mécanismes du botnet utilisé pour envoyer massivement des millions de pourriels via seulement une trentaine de serveurs SMTP.

Dridex sur le forum:
=> Campagnes Dridex – documents Microsoft Word & Excel piégés.

 

http://www.journaldugeek.com/2015/10/15/le-fbi-et-la-nca-agissent-contre-dridex-le-virus-bancaire-le-plus-utilise-en-2015/

Le FBI et la NCA agissent contre Dridex, le virus bancaire le plus utilisé en 2015

 

unnamed%20%2821%29-14477548006449 dans LCR - NPAPar Antoine, le 15 octobre 2015 à 12h27

Hier, le FBI, la NCA (la National Crime Agency est une agence du Royaume-Uni) et bien d’autres agences gouvernementales autour du monde ont agit contre l’un des malwares les plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.

quel_prix_valent_données_personnelles_black_market-640x320

Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.

Dridex detections during 2015

Dridex detections during 2015

Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.

Top ten countries by number of Dridex detections in 2015

Top ten countries by number of Dridex detections in 2015

Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.

Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.

Source

 

https://www.fbi.gov/pittsburgh/press-releases/2015/bugat-botnet-administrator-arrested-and-malware-disabled

Bugat Botnet Administrator Arrested and Malware Disabled

U.S. Department of Justice October 13, 2015
  • Office of Public Affairs (202) 514-2007/TDD (202) 514-1888

 

A sophisticated malware package designed to steal banking and other credentials from infected computers has been disrupted, and charges have been filed in the Western District of Pennsylvania against a Moldovan administrator of the botnet known as “Bugat,” “Cridex” or “Dridex.” Actions taken by the U.K. and the U.S. substantially disrupted the botnet.

Assistant Attorney General Leslie R. Caldwell of the Justice Department’s Criminal Division, U.S. Attorney David J. Hickton of the Western District of Pennsylvania and Special Agent in Charge Scott S. Smith of the FBI’s Pittsburgh Division made the announcement today.

Andrey Ghinkul, aka Andrei Ghincul and Smilex, 30, of Moldova, was charged in a nine-count indictment unsealed today in the Western District of Pennsylvania with criminal conspiracy, unauthorized computer access with intent to defraud, damaging a computer, wire fraud and bank fraud. Ghinkul was arrested on Aug. 28, 2015 in Cyprus. The United States is seeking his extradition.

“The steps announced today are another example of our global and innovative approach to combatting cybercrime,” said Assistant Attorney General Caldwell. “Our relationships with counterparts all around the world are helping us go after both malicious hackers and their malware. The Bugat/Dridex botnet, run by criminals in Moldova and elsewhere, harmed American citizens and entities. With our partners here and overseas, we will shut down these cross-border criminal schemes.”

“Through a technical disruption and criminal indictment we have struck a blow to one of the most pernicious malware threats in the world,” said U.S. Attorney Hickton.

“Cyber criminals often reach across international borders, but this operation demonstrates our determination to shut them down no matter where they are,” said Executive Assistant Director Robert Anderson Jr. of the FBI’s Criminal, Cyber, Response and Services Branch. “The criminal charges announced today would not have been possible without the cooperation of our partners in international law enforcement and private sector. We continue to strengthen those relationships and find innovative ways to counter cyber criminals.”

According to the indictment, Ghinkul was part of a criminal conspiracy that disseminated Bugat, which is a multifunction malware package that automates the theft of confidential personal and financial information, such as online banking credentials, from infected computers through the use of keystroke logging and web injects. It is generally distributed through “phishing,” an e-mail fraud method where legitimate-looking e-mails are distributed to victims in an attempt to obtain personal or financial information. Bugat is specifically designed to defeat antivirus and other protective measures employed by victims. The FBI estimates at least $10 million in direct loss domestically can be attributed to Bugat.

The indictment alleges that Ghinkul and his co-conspirators used the malware to steal banking credentials and then, using the stolen credentials, to initiate fraudulent electronic funds transfers of millions of dollars from the victims’ bank accounts into the accounts of money mules, who further transferred the stolen funds to other members of the conspiracy. Specifically, according to the indictment, on Dec. 16, 2011, Ghinkul and others allegedly attempted to cause the electronic transfer of $999,000 from the Sharon, Pennsylvania, City School District’s account at First National Bank to an account in Kiev, Ukraine, using account information obtained through a phishing e-mail. In addition, Ghinkul and others allegedly caused the international transfer on Aug. 31, 2012, of $2,158,600 from a Penneco Oil account at First Commonwealth Bank to an account in Krasnodar, Russia, and the international transfer on Sept. 4, 2012, of $1,350,000 from a Penneco Oil account at First Commonwealth Bank to an account in Minsk, Belarus. Finally, the indictment alleges that on Sept. 4, 2012, Ghinkul attempted to cause the electronic transfer of $76,520 from a Penneco Oil account at First Commonwealth Bank to an account in Philadelphia. In all three instances, the company’s account information was allegedly obtained through a phishing e-mail sent to a Penneco Oil employee.

In addition to the criminal charges announced today, the United States obtained a civil injunction in the Western District of Pennsylvania authorizing the FBI to take measures to redirect automated requests by victim computers for additional instructions to substitute servers.

The charges and allegations contained in an indictment are merely accusations. The defendant is presumed innocent until and unless proven guilty.

The investigation is being conducted by the FBI. Other agencies and organizations partnering in this effort include: the Department of Homeland Security’s U.S.-Computer Emergency Readiness Team (US-CERT), the United Kingdom’s National Crime Agency, Europol’s EC3, German Bundeskriminalamt (BKA), Dell SecureWorks, Fox-IT, S21sec, Abuse.ch, the Shadowserver Foundation, Spamhaus and the Moldovan General Inspectorate of Police Centre for Combating Cyber Crime, the Prosecutor General’s Office Cyber Crimes Unit and the Ministry of Interior Forensics Unit.

The case is being prosecuted by Assistant U.S. Attorneys Mary McKeen Houghton and Margaret E. Picking of the Western District of Pennsylvania. The civil action to disrupt the Bugat malware is led by Senior Trial Attorney Richard D. Green of the Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Michael A. Comber of the Western District of Pennsylvania. The Criminal Division’s Office of International Affairs provided significant assistance throughout the criminal and civil investigations.

Victims of Bugat/Dridex may use the following webpage created by US-CERT for assistance in removing the malware: https://www.us-cert.gov/dridex.

Ghinkul Indictment

Anyone claiming an interest in any of the property seized or actions enjoined pursuant to the court orders described in this release is advised to review the court documents below for notice of the full contents of the orders.

Ghinkul Complaint

Government’s Motion for Leave to File Under Seal

Memorandum of Law in Support of Motion For Temporary Restraining Order

Motion for Temporary Restraining Order

Order to File Under Seal

Temporary Restraining Order

Motion to Modify Preliminary Injunction

Amended Preliminary Injunction

Special Agent Stevens Affidavit in Support of Temporary Restraining Order

This content has been reproduced from its original source.

 

 

http://forum.malekal.com/arrestations-dridex-citadel-t52815.html

Deux hommes en relation avec Dridex et Citadel interpelés

 

Messagepar Malekal_morte » 08 Sep 2015 23:11

Arrestations de deux hommes, un russe et un moldave, soupçonnés d’avoir des rôles clefs dans le développement et la maintenance de Citadel et de Dridex, des programmes malveillants sophistiqués spécialisés dans le vol d’identifiants et de données bancaires.

Le premier homme, un moldave de 30 ans, était recherché par les autorités U.S. Il a été appréhendé par les autorités locales le vendredi 28 août 2015 alors qu’il passait ses vacances avec sa femme dans la ville de Páfos à Chypre. Il serait à lui seul responsable de fraudes bancaires estimées à ~ 3.5 millions de dollars. L’homme est une figure du « Business Club », un gang de l’Europe de l’Est connu pour avoir subtilisé plus de 100 millions de dollars à des établissements bancaires & financiers. Il serait fortement impliqué dans le développement de Dridex que vous avez peut-être eu lors de campagnes de courriels malicieux avec pièces jointes en Word/Excel.

Le second homme, un russe de 27 ans, a été arrêté à Fredrikstad en Norvège en octobre dernier. Au départ, les médias ont dressés le portrait de l’inconnu à partir du sobriquet « Mark » et petit à petit sont arrivés aux conclusions qu’il s’agirait peut être d’Aquabox, le pseudo derrière Citadel, un malware basé sur le code de ZeuS , qui aurait facilité entre autre les piratages de plusieurs entreprises pétrochimiques européennes.

Source: http://cyprus-mail.com/2015/08/28/moldova-fraudster-caught-in-paphos/
Source : http://krebsonsecurity.com/2015/09/arrests-tied-to-citadel-dridex-malware/

( October 13, 2015 ) DoJ :: Botnet Dridex, arrestation du cerveau

Dridex n’est pas mort, vive Dridex : Les campagnes Dridex continuent

 

http://www.journaldugeek.com/2015/06/29/arrestations-cybercriminels-malware-bancaire-zeus-spyeye/

Arrestations des cybercriminels derrière le malware bancaire ZeuS et SpyEye

 

100x100_1378825234-14482692461677 dans LuraghiPar Elodie, le 29 juin 2015 à 14h48

Cinq personnes ont été arrêtées en Ukraine soupçonnées d’être derrière les tristement réputés malwares bancaires ZeuS et SpyEye, dont l’un des dignes successeurs se nomme GameOverZeus.

arrestations_gang_malware_bancaire_zeus

Découvert en 2007, le malware bancaire Zeus permet de siphonner des comptes en ligne en toute impunité grâce à des techniques telles que le phishing et autres spams. Grâce à elles, les pirates récoltaient mots de passe, identifiants, numéro de comptes bancaires et toutes informations nécessaires pour accéder à des comptes bancaires en ligne.

Grâce à l’action conjointe d’Europol et d’Eurojust, réunissant 6 pays, cinq cybercriminels ont été arrêtés entre le 18 et le 19 juin, soupçonnés de faire partie du gang responsable du développement, de l’exploitation et du déploiement des logiciels malveillants et chevaux de Troie bancaires ZeuS et SpyEye ainsi que du blanchiment de l’argent collecté. Par ailleurs, du matériel informatique a été saisi dans huit maisons réparties dans quatre villes différentes en Ukraine.

Ces malwares seraient responsables de l’infection de dizaines de milliers d’ordinateurs pour un préjudice financier évalué à plus de 2 millions d’euros. En effet, le gang aurait utilisé ces logiciels malvaillants pour attaquer des systèmes bancaires et subtiliser l’argent de plusieurs banques en Europe et hors UE.
Chacun dans leur spécialité, ils créaient les logiciels, vérolaient les systèmes, récoltaient les données bancaires et blanchissaient l’argent volé, notamment grâce à des réseaux de « mules ». « Très actif », le gang louait parfois ses services à des tiers ou recherchait de « nouveaux partenaires » pour réaliser leurs forfaits et échangeait notamment les informations d’identification récoltées, précise Europol dans un communiqué.

« Europol a travaillé avec une équipe internationale d’enquêteurs pour faire tomber un groupe cybercriminel très destructeur. C’est l’une des opérations les importantes coordonnées par l’agence au cours des dernières années », s’est ainsi félicité Rob Wainwright, directeur d’Europol.

Cette opération fait partie intégrante d’une action plus large entamée depuis 2013 par l’équipe commune d’enquête (Joint investigation team, JIT) regroupant l’Autriche, la Belgique, la Finlande, les Pays-Bas mais aussi la Norvège et le Royaume-Uni et ayant abouti à 60 arrestations à ce jour.

Source



Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo