Archives quotidiennes :

backdoor, Bitcoin, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Cybercriminels : évolution des systèmes sophistiqués de menaces

Utilisation massive des attaques par email, détection difficile des attaques phishing ou encore chute des ransomwares… Quelles ont été les tendances des cybercriminels ce dernier trimestre ?

Dans son Rapport Trimestriel Q4 2018, Proofpoint met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances en matière de cyberattaques.

Parmi les principales menaces du dernier trimestre 2018, nous notons Une utilisation massive des attaques BEC contre des entreprises. Une augmentation des fraudes par email de 226% au quatrième trimestre et de 476% par rapport au quatrième trimestre 2017. Les chevaux de Troie bancaires restent la principale menace véhiculée par email : ils représentent 56% de toutes les charges utiles malveillantes au quatrième trimestre ; parmi celles-ci, 76% des attaques proviennent de Emotet. Egalement, les chevaux de Troie d’accès à distance représentaient 8,4 % de toutes les charges utiles malveillantes au quatrième trimestre et 5,2 % pour l’année, marquant un changement significatif par rapport aux années précédentes où ils étaient rarement utilisés.

Les ransomware toujours très présents

Les ransomwares ont chuté à seulement 0.1% du volume total de messages malveillants. Les messages malveillants qui contiennent de fausses mise à jour ou lien de téléchargement corrompus ont grimpé à plus de 230 % en 1an. Les messages exploitant des URL malveillantes se sont révélés plus nombreux que les messages contenant des pièces jointes.

Les attaques sur le web : quand les cryptomonnaies se font miner. L’activité de Coinhive, ce logiciel de minage de moneros, a littéralement explosé en décembre (augmentation de 23 fois la moyenne de l’année en deux semaines). Dans l’ensemble, l’activité Coinhive a continué de croître lentement, à l’exception de ce pic. Il y a eu une augmentation de 150% de menace ciblant l’humain, bien qu’il s’agisse d’une croissance plus lente que les trimestres précédents. Ce chiffre confirme l’importance des techniques d’ingénierie sociale.

Sur les réseaux sociaux, les attaques par « angler phishing » restent difficiles à détecter. Le phishing sur les réseaux sociaux, communément appelé ‘angler phishing a augmenté de 442 % par rapport à l’année précédente. En revanche, les liens de phishing sur les réseaux sociaux diminuent à mesure que les plateformes renforcent leurs algorithmes pour contrer ce problème. Le phishing reste malgré tout une technique difficile à détecter car les attaques sont causées par des interactions humaines. (Le rapport)

backdoor, Chiffrement, Communiqué de presse, cryptage, Hacking, Securite informatique, Social engineering

les logiciels malveillants dédiés aux cryptomonnaies touchent 10 fois plus d’entreprises que les ransomwares

Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.

La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.

Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.

Les éléments clés du rapport

  • Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
  • Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants. 
  • Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons. 

« La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités. »

Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.

Android, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique, Smartphone, Social engineering, Téléphonie

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.