Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Les failles de données ont compromis 4,5 milliards de dossiers au 1er semestre 2018

945 failles ont compromis 4,5 milliards de dossiers dans le monde au cours du premier semestre 2018.

La société Gemalto, spécialiste des solutions de sécurité informatique, vient de sortir son nouveau rapport, le Breach Level Index. Un rapport tiré d’une base de données mondiale sur les failles de données publiques. Le rapport révèle que 945 failles ont compromis 4,5 milliards de dossiers dans le monde au cours du premier semestre 2018. Comparé à la même période en 2017, le nombre de dossiers perdus, volés ou exposés a connu une augmentation vertigineuse de 133%, malgré une légère baisse du nombre total de failles sur la même période, ce qui indique une élévation de la gravité de chaque incident. Un total de six failles sur les réseaux sociaux, y compris l’incident Cambridge Analytica-Facebook, a représenté plus de 56% du total de dossiers exposés. Sur les 945 failles de données, 189 (20%) ont compromis un nombre inconnu de dossiers.

D’après le Breach Level Index, près de 15 milliards de dossiers ont été exposés depuis 2013, lorsque l’indice commença à répertorier les failles de données rendues publiques. Durant les six premiers mois de 2018, plus de 25 millions de dossiers ont été compromis ou exposés chaque jour, soit 291 dossiers à la seconde, y compris des données médicales, de cartes de crédit et/ou financières, ou des données personnelles. Ce phénomène est particulièrement inquiétant étant donné que seulement 1% des données volées, perdues ou compromises étaient protégées par cryptage pour rendre les informations inutilisables, soit 1,5% de moins que pendant les six premiers mois de 2017.

Principales sources de failles de données

Les activités malveillantes externes sont la première cause de failles de données (56%), soit une légère baisse de près de 7% par rapport au second semestre 2017 et représentent plus de 80% de toutes les données volées, exposées ou perdues. Le nombre de pertes accidentelles dépasse les 879 millions (9%) de dossiers perdus pendant ce semestre, la deuxième cause de failles de données, soit plus du tiers des incidents. Ce semestre, le nombre de dossiers et d’incidents impliqués dans des activités malveillantes internes a diminué de 50% en comparaison avec la même période en 2017.

Principaux types de failles de données

Le vol d’identité continue d’être le principal type de faille de données, ce qui est le cas depuis que Gemalto a commencé le suivi de ces activités en 2013. Alors que le nombre de violations par vol d’identité a augmenté de 13% par rapport au second semestre 2017 pour légèrement dépasser les 64%, le nombre de dossiers volés par ces incidents a augmenté de 539%, et représente plus de 87% de tous les dossiers volés. Les incidents d’accès aux données financières suivent une tendance inquiétante d’intensification de la gravité. Bien que le nombre total d’incidents soit en baisse entre le S1 2017 et le S1 2018 (171 pour le S1 2017 et 123 pour le S1 2018), le nombre de dossiers piratés a augmenté entre le S1 2017 et le S1 2018 (2,7 millions et 359 millions, respectivement).

Secteurs les plus touchés par les failles de données

La plupart des secteurs ont connu une augmentation des incidents en comparaison avec le semestre précédent, à l’exception des organes gouvernementaux, des services professionnels, du commerce de détail et des technologies, même si les organes gouvernementaux et le commerce de détail ont affiché une augmentation du nombre de dossiers exposés et une diminution du nombre d’incidents. La santé reste le premier secteur en termes de nombre d’incidents (27%).

La faille la plus importante, appelée 211 LA County, a exposé 3,5 millions de dossiers à la suite d’une fuite accidentelle. Les réseaux sociaux arrivent en tête du nombre de données compromises (56%) en raison des brèches de données d’utilisateurs très médiatisées chez Facebook et Twitter, avec 2,2 milliards et 336 millions de données exposées, respectivement.

Répartition géographique des failles de données

L’Amérique du Nord représente toujours la majeure partie de toutes les failles et du nombre de données exposées, avec 59 et 72% respectivement. Les États-Unis restent de loin la cible privilégiée des attaques, et représentent plus de 57% des failles au niveau mondial et 72% de toutes les données perdues, même si le total des incidents a diminué de 17% par rapport au semestre précédent. Avec l’adoption de la loi « Notifiable Data Breaches », le nombre d’incidents en Australie a considérablement augmenté (de 18 à 308), comme cela était à prévoir.

L’Europe a connu une diminution de 36% des incidents, mais une augmentation de 28% du nombre de données compromises, ce qui indique une élévation de la gravité des attaques. Le Royaume-Uni reste le pays le plus attaqué de la région. Avec l’entrée en vigueur du RGPD durant le second semestre 2018, le nombre d’incidents déclarés pourrait commencer à augmenter.

Des chiffres et du marketing qui ne révélent pas la triste réalité des fuites de données. Dataleak.exposed portail web qui permet de cybersurveiller les réseaux pirates et la vente/diffusion de fuites de données a référencé, en 2018, plus de 400 000 bases de données piratées !

Piratage de Facebook : 400 000 infiltrations + 400 000 + 400 000 …

Facebook vient d’expliquer le piratage qu’a subi la plateforme de réseautage. Il n’y aurait eu que 400 000 personnes impactées. vraiment ?

Facebook a diffusé, ce 13 octobre, un communiqué de presse expliquant son piratage. Si la société avait annoncé entre 30 et 50 millions de comptes impactés, Facebook parle aujourd’hui de 400 000 utilisateurs véritablement infiltrés. Les pirates ont pu se servir de leur compte personnel.

15 millions d’utilisateurs ont perdu leur véritable identité et coordonnées. Pour 14 millions de personnes, les assaillants ont eu accès aux deux mêmes types d’informations, ainsi qu’à d’autres détails figurant dans leur profil. Cela incluait le nom d’utilisateur, le sexe, le lieu / la langue, le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, au travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu’ils suivent et les 15 recherches les plus récentes.

Pour 1 million de personnes, les attaquants n’ont eu accès à aucune information.

400 000 + 400 000 + 4000 000 …

En lisant le communiqué de presse, la formulation est floue. Un flou qui ne semble pas être un hasard. Je m’explique. En comptant tous les amis, le nombre de conversations accessibles, … on se retrouve avec des millions de personnes impactés. Bien plus que les 30 millions indiquées. Le paragraphe concernant l’accès aux messages devrait faire réfléchir : « Message content was not available to the attackers, with one exception. If a person in this group was a Page admin whose Page had received a message from someone on Facebook, the content of that message was available to the attackers. » Bref, les amateurs de fractals commencent à comprendre mon interrogation. Cela en fait des informations et des messages « privés » si j’additionne les amis, des amis, des amis de mes amis !

Dernier point, il est intolérable que les pages « sécurité » dont celle dédiée à ce piratage ne soient pas traduite dans les langues des utilisateurs. De nombreuses personnes inquiètes ne comprennent ni le vocabulaire « juridique » employé, ni la langue de Shakespeare.

RENFORCER LA SÉCURITÉ RÉSEAU DES CENTRES D’APPELS : ETUDE DE CAS TELEPERFORMANCE

Les centres d’appels (aussi appelés call centers) permettent de prendre en charge la relation à distance entre une marque et son marché. Ils opèrent dans des domaines à haut risque tels que les canaux de service client, c’est pourquoi la protection des données client, des données de paiement et d’autres informations sensibles est particulièrement importante pour les centres d’appels. Certaines normes telles que ISO 27001 et PCI DSS indique clairement aux clients que la société prend la sécurité au sérieux. Ainsi, ils ont besoin d’une solution pour renforcer la sécurité de leur réseau tout en garantissant la conformité aux réglementations en vigueur. Explication par IS Decisions.

La Maison Blanche autorise les cyber offensives pour dissuader des adversaires étrangers

Operations cyber offensives – Les États-Unis assouplissent les règles liées à la cyberguerre face aux inquiétudes suscitées par l’ingérence électorale lors des prochaines élections américaines de mi-mandat.

John Bolton, conseiller à la sécurité nationale, a déclaré jeudi que la Maison-Blanche qu’il avait autorisé des « cyber-operations offensives – cyber offensives » contre des adversaires américains, conformément à une nouvelle politique visant à alléger les règles d’utilisation des armes numériques. « Nos mains ne sont pas liées comme elles l’étaient dans l’administration Obama« , a déclaré Bolton lors d’un point de presse qui dévoilait une nouvelle stratégie cybernétique nationale. Il n’a pas précisé la nature des opérations offensives, ni leur importance.

L’administration Trump se concentre sur les tentatives des gouvernements étrangers qui auraient envie de cibler les réseaux américains et potentiellement interférer dans les élections de novembre. Bref, la NSA va-t-elle s’attaquer aux Trolls et autres Haters qui sévissent sur jeuxvideo.com et autres espaces comme 4 chan ?

En général, la directive du président – appelée mémorandum présidentiel sur la sécurité nationale 13, ou NSPM 13 – permet un engagement militaire sans un long processus d’approbation. La stratégie de Trump se base sur celles mises en avant par les précédentes administrations et intègre des initiatives déjà en cours, telles que l’utilisation d’une approche de «gestion des risques» pour identifier les vulnérabilités dans les réseaux critiques.

Cyber offensives

Globalement, ils reflètent presque directement le plan d’action national de cybersécurité de l’administration Obama publié en 2016. Pour rappel, Bolton a annulé le poste de coordinateur de la cybersécurité de la Maison Blanche ! La Maison-Blanche et le Pentagone ont lancé une nouvelle cyber-stratégie qui se concentre sur la Chine et la Russie en tant que principaux adversaires stratégiques de l’Oncle Sam.

L’US Cyber Command se chargeait déjà des actions « défensives » en charge de défendre la nation contre les attaques tout en opérant en dehors des frontières américaines. Mais maintenant, ces activités défensives se dérouleront dans un contexte d’une compétition économique et politique entre grandes puissances.

Contrats juridiques sécurisés par la blockchain

Rocket Lawyer, leader mondial des services juridiques en ligne, s’est associé à ConsenSys, leader mondial de la technologie « Blockchain » Ethereum, et la start-up OpenLaw (Groupe ConsenSys) afin d’accélérer l’implémentation de son service « Rocket Wallet »* qui permet l’exécution de contrats sécurisés par la blockchain.

Blockchain – Rocket Lawyer est l’une des plates-formes en ligne de contrats juridiques qui connaît la croissance la plus rapide au monde. Rocket Lawyer est à l’origine de l’utilisation croissante de contrats juridiques dans le cloud par des millions de personnes et d’entreprises. Ainsi, chaque année, des millions de documents juridiques sont créés, signés ou stockés, mais des éléments clés du processus, notamment ceux liés à l’exécution des contrats et au règlement des litiges, restent à optimiser.

Fonctionnant avec la blockchain Ethereum et s’appuyant sur le protocole OpenLaw, Rocket Lawyer va déployer des transactions plus intelligentes gérées par un réseau plutôt que par une autorité centrale. De cette manière, Rocket Lawyer aspire à limiter le partage d’informations personnelles et à renforcer la sécurité et la confidentialité des données.

« La collaboration entre ConsenSys, OpenLaw et Rocket Lawyer nous permettra de travailler ensemble au développement de contrats juridiques intelligents« , a déclaré Joe Lubin, fondateur de ConsenSys et co-fondateur d’Ethereum. “Nous sommes impatients de rationaliser la mise en œuvre des contrats de manière à réduire les frictions et à créer des accords juridiques basés sur la blockchain, ce qui est un développement important pour l’écosystème Ethereum”.

Après avoir développé la manière la plus simple de créer et de signer des documents juridiques, Rocket Lawyer rendra la signature des contrats et la résolution des litiges, sûrs et abordables, en devenant la première société de la legaltech à intégrer la technologie de la blockchain dans les transactions juridiques quotidiennes à grande échelle.

« Rocket Wallet » (dépôt de brevet en cours) est d’ores et déjà disponible en version bêta aux États-Unis. Le lancement officiel est quant à lui prévu au premier semestre 2019.

Une singulière collecte de données succède aux vacances d’été

Alors que les vacances d’été touchent à leur fin, les services informatiques font face à une nouvelle année de défis face à la quantité astronomique de données créées durant les mois d’été. En effet, puisque nos smartphones ne nous quittent plus et que les appareils personnels sont de plus en plus utilisés dans le cadre professionnel, les snaps et les vidéos de vacances finissent rapidement dans les réseaux de l’entreprise.

Les vacances une fois terminées, nombreux sont ceux qui se déchargent de l’effort de classer et de regrouper leurs photos et vidéos dans un dossier ou qui suppriment les doublons. A mesure que les frontières se brouillent entre le lieu de travail et les appareils personnels, les photos personnelles des employés, vidéos et données continuent de prendre de la place sur les outils, le disque dur et le stockage dans le cloud de l’entreprise :

Plus de 50% des données de l’entreprise sont constituées de fichiers de développeurs, d’images et de de fichiers inconnus. Les fichiers inconnus ont augmenté de 51% entre 2016 et 2017, ce qui indique que les entreprises créent de plus en plus d’applications personnalisées qui génèrent de nouveaux types de fichiers non reconnus.

Cela montre également que de plus en plus d’utilisateurs sauvegardent sur le réseau de l’entreprise des fichiers personnels qui ne sont pas facilement identifiables : une énorme charge de données pour l’informatique, en particulier lorsque les coûts de gestion du stockage et de la sauvegarde des données pèsent déjà lourdement sur des ressources limitées.

Localiser avec précision les données pertinentes

En outre, 39% des employés ont déclaré que leur entreprise n’est pas en mesure d’identifier et de localiser avec précision les données pertinentes. 42% admettent n’avoir aucun système en place pour déterminer quelles données devraient être sauvegardées ou supprimées en fonction de leur valeur. Alors que le volume de données ne cesse d’augmenter, les entreprises se battent pour garder le contrôle de leurs données.

Aujourd’hui, neuf employés sur dix admettent que leur entreprise n’a pas une bonne culture de gouvernance des données, on constate en revanche un changement positif dans de nombreuses entreprises, la direction reconnaissant l’importance d’une bonne hygiène des données.

« A une époque où les employés utilisent leurs smartphones et ordinateurs personnels dans un cadre professionnel, les entreprises sont rapidement associées au problème », déclare Jean-Pierre Boushira, Vice-President Southern Europe chez Veritas. « Les données personnelles mêlées aux informations sensibles de l’entreprise, surchargent progressivement le stockage informatique de cette dernière. Or, plutôt que d’imposer des règles et lignes de conduite strictes, les entreprises devraient s’appuyer sur des outils de gestion de données intégrés. Les solutions actuelles d’archivage peuvent aider les entreprises à faire face à la gestion d’une grande quantité d’information, en s’assurant que les données sensibles sont classifiées, extraites et protégées quand les données de moindre importance sont effacées. »

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

700 millions d’attaques informatiques enregistrées en 2017

Les attaques informatiques ont fortement augmenté. Selon une étude de ThreatMetrix, en 2017 plus de 700 millions de cyberattaques ont été enregistrées à travers le monde. Cela correspond à une augmentation de 100 % depuis 2015.

En France, plus de 19 millions de français ont été concernés par des attaques informatiques en 2017 (selon une étude Norton). Le montant des préjudices subis s’élève à 6, 1 milliards d’euros. Dans le monde, ce chiffre s’élève à 600 milliards de dollars et des pays investissent massivement dans ce domaine (étude McAfee) qui est devenu une véritable économie.

En mai 2017, Wannacry a changé la donne. Ce ransomware a inspiré de nombreuses cyberattaques qui ont exploité d’autres failles de sécurité notamment Microsoft. En France, 42 % des internautes ont été victimes d’une cyberattaque et 45 % d’entre eux ont eu affaire à un rançon logiciel. En raison de ces attaques et de la forte communication réalisée, les comportements des utilisateurs ont évolué et entraîné une transformation des ransomwares qui s’adaptent et visent les mobiles et les tablettes.

92% des sociétés françaises touchées ?

Désormais, on voit apparaître des Responsive Ransomware qui profitent de la progression de l’utilisation des outils mobiles. Pour la première fois en 2017, le nombre d’opération fut plus important sur mobile que sur ordinateur.

Selon le Cesin (Club des Experts de la Sécurité de l’information et du Numérique), on voit une nette évolution des cyberattaques qui visent les sociétés en France : 80 % des sociétés françaises touchées par une attaque en 2016 ; Ce chiffre atteint les 92 % en 2017 ; Soit plus de 9 entreprises sur 10 victimes d’une cyberattaque engendrant une paralysie des services, l’arrêt de la production et un effondrement du chiffre d’affaires. Sans parler des infiltrations et autres méthodes pour un mot de passe GMail perdu et autre webmails qui restent totalement invisibles. Les ransomwares extorquent de l’argent aux sociétés en prenant leurs propres données en otage. D’autres attaques ont encore pour objectif le vol de propriété intellectuelle. En 2017, 150 milliards (sur 600) de travail piratés aux entreprises. Après l’attaque Wannacry, l’empire de la cybercriminalité ne s’est jamais aussi bien porté. Il s’agit d’une réelle cyberguerre mondiale. (threatmetrix.com)

Xbash, le futur Petya ?

Xbash : dans la lignée de NotPetya, une nouvelle menace et famille de malware ciblant les serveurs Windows et Linux risque de faire grand bruit.

L’Unit42, unité de recherches de Palo Alto Networks, a découvert cette menace qui a toutes les caractéristiques de NotPetya. Baptisé Xbash, cette menace est un malware destructeur de données qui se fait passer pour un ransomware. Il combine des fonctions de cryptomineur, de ransomware, de botnet, d’auto propagation et se répand en visant les mots de passe à faible niveau de sécurité et les failles non-patchées

XBash, nouvelle menace aux allures de Petya

Les chercheurs de l’Unité 42, unité de recherches de Palo Alto Networks  ont découvert une nouvelle famille de malware qui ciblent les serveurs Windows et Linux. Nous pouvons lier ce malware, que nous avons baptisé Xbash, à Iron Group, un groupe de cybercriminels qui s’est fait connaître par des attaques de type ransomwares.

Xbash est un ransomware et un cryptomineur. Il a également des capacités d’autopropagation (c’est-à-dire qu’il est des caractéristiques d’un vers semblable à WannaCry ou Petya/NotPetya). Il a également d’autres capacités non encore implémentées qui, quand elles le seront, pourraient lui permettre de se répandre très rapidement dans le système d’information d’une entreprise (là encore, tout comme WannaCry ou Petya/NotPetya).

Xbash se répand en visant les mots de passe faibles et les failles non-patchées. 

Xbash est dangereux pour les données ; il détruit les bases de données sous Linux dans le cadre de son action de ransomware. De plus nous n’avons trouvé aucune fonctionnalité au sein de Xbash qui pourrait permettre la restauration des données après paiement de la rançon. Cela signifique que, comme NotPetya, Xbash est un malware destructeur de données qui se fait passer pour un ransomware.

Les entreprises peuvent se protéger de Xbash en :

  1. Changer les mots de passe par défaut et utiliser des mots de passe forts
  2. Faire régulièrement les mises à jour de sécurité
  3. Installer des outils de sécurités sur les terminaux d’accès sous Linux et Windows
  4. Empêcher l’accès à des hôtes inconnus sur internet (pour bloquer l’accès aux serveurs C&C — Command and Control — établis par les cybercriminels)
  5. Implanter et maintenir des procédures de sauvegarde et restauration strictes et efficaces

Les particularités de Xbash 

Pour conclure, Xbash combine des fonctions de cryptomineur, de ransomware, de botnet et d’autopropagation. Les systèmes basés sous Linux sont visés par ses capacités de botnets et de ransomware. Les systèmes basés sous Windows sont visés par ses capacités d’autopropagation et de cryptomineur. La composante ransomware cible les bases de données sous Linux et les détruit. À ce jour, 48 transactions entrant sur ces wallets pour un revenu total de 0,964 bitcoin. 48 victimes ont payé près de 6000 dollars (ou près de 5209 euros) au total, à l’heure où nous écrivons ces lignes.

Iron Group

Toutefois il n’y a aucune preuve que les rançons payées ont permis aux victimes de récupérer leurs données. Aucune fonctionnalité pour rendre cette restauration possible tout au long du processus de paiement de rançon. Les analyses estiment que c’est surement l’œuvre du Iron Group, un groupe déjà publiquement lié à d’autres campagnes de rançonnage y compris celles incluant l’utilisation du RCS (Remote Control System) dont le code source aurait été volé à la HackingTeam en 2015.

L’aéroport de Bristol mis au tapis par un logiciel de rançonnage

L’aéroport de Bristol touché par une cyberattaque. Parmi les problèmes, les écrans d’affichage des vols mis hors ligne pendant 48 heures.

L’aéroport de Bristol (Royaume-Uni) ferme une partie de son informatique. Durant deux jours, en raison d’un ransomware, les écrans d’affichage dédiés aux vols perturbés pendant deux jours. La BBC explique que le rançongiciel a mis une telle pagaille que des systèmes entiers ont du être retirés du réseau. Pour répondre aux attentes des voyageurs, tableaux blancs et marqueurs ont servi de palliatifs ! Le code malveillant peut se retrouver dans la place de plusieurs façons : un employé qui clique sur le mauvais mails ; une clé usb sur un bureau ; une infiltration d’un des serveurs et exécution du code pirate. Un message sur le site web de l’aéroport indique que les vols sont « ok ». Un délai supplémentaire est à prévoir pour l’enregistrement et l’embarquement. Le logiciel de rançonnage n’aurait pas infecté des systèmes sensibles de l’aéroport. Cependant, le site web de la structure aéroportuaire ne proposait plus toutes ses options habituelles.