background preloader

Virus et malwares

Facebook Twitter

Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître. EternalRocks encore plus inquiétant que WannaCry. Après l'attaque du ransomware WannaCry, les chercheurs ont identifié le ver de réseau EternalRocks.

EternalRocks encore plus inquiétant que WannaCry

Celui-ci utilise jusqu'à 7 outils de hacking ayant été volés à la NSA puis exposés par le groupe Shadow Brokers. Une semaine après l’attaque perpétrée par le ransomware WannaCry au niveau mondial, un autre logiciel d’exploitation de failles fait parler de lui. Selon des chercheurs en sécurité, il y a au moins une personne qui utilise 7 des outils d’attaque volés à la NSA dans un ver de réseau dénommé EternalRocks par ceux qui l’ont identifié.

Les chercheurs ont constaté que ce ver ciblait la même vulnérabilité du protocole SMB de Windows, en s’avérant plus menaçant et plus difficile à contrer. Comme WannaCry, EternalRocks utilise EternalBlue, l’un des outils de la NSA. WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8. Actuellement, un ransomware infecte de très nombreuses machines de par le monde, notamment dans des services vitaux comme des hôpitaux.

WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8

Si la faille utilisée est corrigée depuis mars, certains ne sont pas à jour. Devant l'urgence de la situation, Microsoft a publié un patch pour d'anciennes versions de Windows. Telefonica frappé par une cyberattaque de grande ampleur. Ce vendredi, un ransomware s'est répandu comme une trainée de poudre et paralysé ce matin une partie du réseau interne de l'opérateur espagnol Telefonica qui a demandé à la plupart de ses employés de rentrer chez eux.

Telefonica frappé par une cyberattaque de grande ampleur

D'autres grandes entreprises comme Banco Santander et Iberdrola pourraient être touchées. Le centre d'alerte et de réaction aux attaques informatiques espagnol a confirmé que cette attaque frappe un nombre élevé d'entreprises. C'est une attaque informatique d'une rare ampleur qui a frappée ce matin l'opérateur espagnol Telefonica. Relatée par plusieurs confrères dont El Mundo, elEconomista ou encore 20minutos - et confirmé dans un tweet par le chief data officer de la société Chema Alonso que nous avions rencontrés il y a quelques jours en Espagne, cette attaque a paralysé une grande partie du réseau interne de l'entreprise.

Ransomware : Seulement 30% des rançons versées en France contre 64% aux US. D'après le dernier rapport annuel de Symantec, la France arrive en deuxième place des pays ayant connu le plus grand nombre de vol d'identifiants en 2016.

Ransomware : Seulement 30% des rançons versées en France contre 64% aux US

Les ransomwares s'avèrent bien plus efficaces aux Etats-Unis qu'en France où seulement 30% des rançons sont payées contre 36% dans le monde et 64% outre-Atlantique. L'éditeur en solutions de sécurité Symantec a publié la 22e édition de son rapport sur les menaces de sécurité Internet (ISTR 22). Si le nombre d'e-mails malveillants et le paiement des rançons sont moins systématiques en France qu'ailleurs, en revanche l'Hexagone est loin d'avoir été épargné par les vols d'identifiants.

Bien au contraire car le pays pointe en deuxième place, juste derrière les Etats-Unis mais devant la Russie, avec 85,3 millions d'identifiants volés contre 791,8 (SIC) aux Etats-Unis et 83,5 en Russie. DOK, le malware macOS qui utilisait un certificat reconnu par Apple. Une importante menace a été détectée sur Mac.

DOK, le malware macOS qui utilisait un certificat reconnu par Apple

Le malware, nommé Dok, est en capacité de prendre le contrôle de la machine et pouvait jusqu'à récemment éviter la détection par la plupart des antivirus. Traditionnellement, bon nombre d’utilisateurs de macOS considèrent qu’ils sont plus à l’abri que ceux sous Windows. Le nombre de menaces y est en effet bien moindre, mais cet écart ne cesse ne se réduire avec le temps. Même si aujourd’hui encore les machines Windows sont les plus visées pour des questions évidentes de parts de marché, il ne faut pas considérer pour autant que les ordinateurs d’Apple sont protégés de manière inhérente contre les malwares.

DOK rappelle à ce sujet à quel point l’utilisateur est encore et toujours le « maillon faible » de la chaine de sécurité. Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines. Des rapports mentionnent des dizaines de milliers de machines infectées par un malware de la NSA, nommé DoublePulsar.

Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines

On ne sait pas encore dans quelle mesure ces chiffres sont corrects, mais les archives publiées par les pirates de Shadow Brokers donnent quelques motifs d’inquiétude. Cerber, un ransomware capable de détecter les machines virtuelles. Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines formes de détections.

Cerber, un ransomware capable de détecter les machines virtuelles

Le malware est ainsi capable de vérifier s’il se lance dans une machine virtuelle. Les ransomwares sont des logiciels malveillants particulièrement célèbres depuis quelques années. Le principe est toujours le même : chiffrer les données sur l’ordinateur de la victime et lui réclamer ensuite une rançon. Le plus souvent, elle retrouve ses fichiers, mais cette fin « heureuse » n’est jamais garantie. Dans la grande majorité des cas, le ransomware est expédié via un email plus ou moins bien réussi, avec un lien direct de téléchargement. Un lien Dropbox vers une archive auto-extractible.

DoubleAgent - Une injection de code indétectable et instoppable par les antivirus. Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine.

DoubleAgent - Une injection de code indétectable et instoppable par les antivirus

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement. Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog. Source. Mirai : un malware Windows lui ouvre les portes des réseaux internes. Mirai n’a pas fini de faire des victimes.

Mirai : un malware Windows lui ouvre les portes des réseaux internes

Le malware voit sa route dégagée par l’apparition d’un troyen pour Windows, qui scanne ensuite le réseau de l’utilisateur pour y détecter des objets connectés sous Linux. Ce cheval de Troie a pour seule mission de faciliter la mise en place de Mirai. Il a été découvert par la société de sécurité Dr.Web. Nommé sobrement Trojan.Mirai.1, il s’infiltre en prenant une forme a priori anodine (un document Office, un utilitaire…). De là, il va scanner le réseau local de la machine pour y chercher des caméras connectées et autres objets sous Linux, les cibles dont raffole Mirai. Macros, fausses mises à jour : quand de vieilles menaces débarquent sur Mac. Des techniques érodées de piratage sous Windows font désormais leur apparition sur Mac.

Macros, fausses mises à jour : quand de vieilles menaces débarquent sur Mac

C’est notamment le cas de documents Word emportant des macros néfastes, qui cherchent à récupérer et à installer des malwares. C’est peu de dire que les attaques par macros sont vieilles comme le monde. Il faut remonter aux années 90 et à l’arrivée de cette fonctionnalité dans Office de Microsoft pour en trouver les débuts. Les macros sont en fait du code écrit en Visual Basic, qui permet d’effectuer des actions complémentaires au sein du documents.

La fonctionnalité se voulait évidemment puissante, en outrepassant les limites d’une simple interface graphique. Les banques françaises victimes d'un malware quasi-indétectable, d'après Kaspersky Lab. Les banques sont sous le coup de cyber-attaques redoublées depuis quelques années, mais l'ampleur du phénomène semble avoir été sous-estimée. D'après Kaspersky Lab, au moins 140 entreprises (banques, opérateurs télécoms, organismes gouvernementaux...) réparties dans 40 pays différents ont été pénétrées par des malfaiteurs ces dernières années. La France et les Etats-Unis seraient parmi les pays les plus touchés. Une parade pour contrer Locky grâce à l'analyse des requêtes DNS. Une attaque par ransomware a infecté près de 70% du réseau de caméras de surveillance de la ville de Washington D.C provoquant le blocage de l'enregistrement d'images vidéo plusieurs jours avant l'investiture de Donald Trump.

Près de 70% des caméras connectées au système de surveillance (CCTV) de la police de Washington DC ont été dans l’impossibilité d’enregistrer des images suite à une attaque par ransomware. Sur les 187 caméras qui équipent le réseau, 123 ont été infectées, a révélé le Washington Post, dans un article publié samedi dernier. Ces appareils sont utilisés pour stocker des séquences vidéo provenant d’un maximum de quatre caméras installées dans des espaces publics.

L'incident s'est produit le 12 janvier, soit huit jours seulement avant l'investiture de Donald Trump, et il a fallu trois jours pour rétablir le système. Victime d’un ransomware, un hôtel veut revenir aux clés classiques pour ses chambres. Quand une société est victime d'un ransomware, cela peut avoir d'importantes conséquences. En Autriche, une cyberattaque a ainsi paralysé les ordinateurs d'un hôtel, qui a décidé de payer la rançon demandée. Un coup de semonce qui rappelle que cela n'arrive pas forcément qu'aux autres. Depuis quelques jours, l'information fait le tour du Web : l'hôtel Romantik Seehotel Jägerwirt se serait fait pirater et des clients se seraient retrouvés piégés à ne plus pouvoir entrer ou sortir de leur chambre. C'est du moins ce qu'affirmait le site The Local dans un premier temps, avant de se rétracter. Finalement, la situation est moins catastrophique, mais soulève une nouvelle fois la question de la cybersécurité.

Un ransomware chiffre les données des écoles bordelaises. Des Trojans Android bancaires dotés de fonctions de ransomware. Des images infectées par un malware dans Facebook et Linkedin. ImageGate constitue une menace réelle pour les utilisateurs des réseaux sociaux comme Facebook et Linkedin.