Archives de catégorie : ransomware

Antivirus, backdoor, cryptage, Cybersécurité, ransomware, Securite informatique

Un EDR Killer partagé entre groupes de ransomware

Un outil furtif circule entre groupes de ransomware. Il désarme les antivirus, contourne les protections, s’améliore par usage. Sophos sonne l’alerte : la menace est désormais coopérative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Depuis 2022, un programme malveillant conçu pour désactiver les protections informatiques – baptisé « EDR Killer » – est partagé, adapté et utilisé par plusieurs groupes de ransomware parmi les plus dangereux. Sophos, entreprise de cybersécurité, a récemment révélé l’ampleur de cette coopération souterraine entre acteurs malveillants. Ce « tueur d’antivirus », indétectable grâce au chiffrement HeartCrypt et signé avec des certificats numériques frauduleux, cible toutes les principales solutions de sécurité du marché. Il s’intègre en amont des attaques, neutralisant les défenses des victimes avant même que le ransomware n’agisse. Ce phénomène illustre un tournant stratégique dans la cybercriminalité : des ennemis qui partagent leurs outils comme s’ils constituaient un arsenal collectif contre les systèmes de défense.

Une bombe invisible glissée dans les chaînes d’attaque

Août 2025. Une équipe de réponse à incident s’interroge sur l’échec des systèmes de détection d’une entreprise britannique frappée par le ransomware Medusa. Tous les outils de sécurité avaient été désactivés sans alerte. Pas de signal, pas d’alarme, pas même une trace résiduelle dans les journaux système. Rien qu’un silence avant le chaos.

C’est dans cette zone d’ombre que s’est glissé le « EDR Killer », un outil autonome, insidieux, sophistiqué, capable de tuer silencieusement la majorité des solutions de cybersécurité utilisées par les entreprises : Microsoft Defender, Bitdefender, Sophos, McAfee, SentinelOne, Webroot, et bien d’autres.

Les équipes de Sophos, en enquêtant sur plusieurs attaques coordonnées depuis 2022, ont constaté un phénomène inquiétant : le même outil, utilisé par plusieurs groupes sans lien apparent. Medusa, Blacksuit, Qilin, DragonForce, INC. Des groupes parfois rivaux, souvent concurrents dans leurs méthodes, mais qui, ici, partageaient un même couteau numérique. Mieux encore, chacun d’eux utilisait une version adaptée du code. Preuve d’une circulation technique, non pas d’une simple copie.

Des mécanismes d’effacement et de camouflage maîtrisés

Le « EDR Killer » n’est pas une simple charge virale. Il est préparé comme une arme tactique. Il ne chiffre pas les données. Il ne vole rien. Il prépare le terrain.

En amont de l’attaque finale, il désactive les agents de surveillance, coupe les connexions aux services cloud de sécurité, et tue les processus critiques liés à la détection comportementale. Il le fait en mémoire, sans écrire de fichiers persistants, rendant son analyse post-mortem quasi impossible.

Pour échapper aux antivirus eux-mêmes, le binaire est obfusqué par HeartCrypt, un service commercial illégal fonctionnant selon le modèle « packer-as-a-service ». Il chiffre les exécutables, empêche la rétro‑ingénierie, et peut muter à chaque exécution, comme un virus biologique contournant les vaccins.

Mais le plus remarquable reste l’utilisation de certificats numériques volés ou expirés, qui permettent à l’outil d’installer des pilotes système avec les droits les plus élevés. Ainsi, les protections profondes du noyau Windows sont elles aussi désactivées, ouvrant la voie au déploiement du ransomware proprement dit.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Une convergence inquiétante entre acteurs criminels

L’enquête de Sophos ne s’est pas arrêtée à l’analyse technique. Très vite, un élément stratégique est apparu : les multiples versions de l’outil n’étaient pas identiques. Chaque groupe criminel semble avoir obtenu, modifié et adapté le code à ses propres chaînes d’attaque. Ce n’est pas un simple exécutable partagé, mais un projet logiciel, vivant, distribué.

Ce phénomène rappelle les logiques de coopération entre mafias numériques : partage de ressources, vente de services spécialisés, mutualisation de moyens. HeartCrypt, par exemple, est commercialisé sur les forums clandestins à des prix variant selon le niveau de personnalisation. Des criminels y vendent des solutions de chiffrement sur mesure, avec signature valide, support client, mises à jour hebdomadaires.

Ainsi, un opérateur ransomware peut commander un « EDR Killer » customisé, obfusqué, certifié, prêt à l’emploi. Il l’intègre ensuite dans sa chaîne d’exploitation. Cette industrialisation des moyens techniques marque une nouvelle étape dans l’économie souterraine du cybercrime, où l’optimisation opérationnelle prime sur l’exclusivité.

Une opération éclair : SimpleHelp comme point d’entrée

Un cas précis illustre la redoutable efficacité de ce schéma. En mai 2025, Medusa a exploité une vulnérabilité zero-day dans la plateforme de support à distance SimpleHelp. En quelques minutes, l’EDR Killer est injecté, les défenses abattues. Le ransomware prend alors le contrôle. Aucun antivirus ne s’est réveillé.

Le vecteur initial (SimpleHelp) était légitime. Le code était signé. Les protections désactivées proprement. Pour les victimes, la sidération a été totale. Pour les experts en sécurité, un rappel brutal : même les outils de gestion IT peuvent devenir des armes contre les réseaux qu’ils protègent.

L’incident révèle une évolution stratégique majeure dans l’univers du cybercrime. D’abord, on assiste à une désintermédiation des phases d’attaque : en désactivant les EDR au tout début de l’intrusion, les assaillants éliminent la première ligne de défense, celle qui agit en temps réel, réduisant à néant les capacités de réaction automatisée. La chaîne d’attaque devient silencieuse, plus rapide, plus létale.

Ensuite, cette affaire fournit la preuve concrète d’un partage d’outils entre groupes traditionnellement indépendants. Ce ne sont plus des tactiques uniques, mais des briques logicielles mutualisées, adaptées localement selon les cibles. Cette convergence suggère l’émergence d’un véritable marché noir modulaire où chaque groupe assemble son propre kit d’agression.

Par ailleurs, la dépendance croissante à des services criminels spécialisés, comme HeartCrypt, témoigne d’un écosystème structuré. Ces services d’obfuscation et de chiffrement opèrent selon des logiques commerciales classiques, avec catalogue, support, mises à jour. Cela rapproche de plus en plus les réseaux cybercriminels d’un modèle industriel, où la sophistication est achetée à la demande.

Enfin, cette dynamique pose un défi renouvelé au renseignement technique. Il ne suffit plus d’analyser des souches virales isolées : il faut désormais cartographier les flux technologiques, identifier les empreintes des fournisseurs, suivre les patterns d’obfuscation. La guerre n’est plus seulement contre un virus, mais contre une logique collaborative qui dépasse chaque attaque.

Que peut faire la défense face à cette menace mutante ?

Face à cette mutation du paysage numérique, la riposte ne peut être uniquement technique. D’abord, il est essentiel de renforcer la surveillance active des marchés clandestins, là où les outils comme HeartCrypt sont distribués, évalués, améliorés. L’enjeu est de comprendre les cycles de vie des outils, de détecter les variantes dès leur phase de test.

En parallèle, les acteurs de la cybersécurité doivent développer des mécanismes de détection comportementale capables d’identifier les symptômes d’un EDR Killer, même si celui-ci reste inconnu en signature. Cela suppose un changement de paradigme, passant de la reconnaissance de fichiers à l’analyse des effets systémiques.

Il devient également crucial de durcir la gestion des pilotes système. Trop souvent, des certificats numériques volés ou expirés sont encore tolérés par les systèmes d’exploitation. Réformer cette tolérance permettrait de réduire considérablement la surface d’attaque.

Enfin, la collaboration entre entreprises, y compris concurrentes, doit devenir une norme. Si un outil est partagé entre cybercriminels, il peut aussi être détecté collectivement. Les mécanismes de threat intelligence mutualisée, ouverts, intersectoriels, peuvent faire émerger une défense coordonnée à la hauteur d’une attaque elle-même collaborative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, ransomware, Securite informatique

Cybersécurité : les PME examinent seulement une alerte de sécurité sur deux

Étonnant chiffre que j’ai vu passer dans un communiqué de presse diffusé par Cisco. Une PME sur deux se pencherait sur une alerte de sécurité informatique.

Les petites et moyennes entreprises (PME) sont devenues des cibles attractives pour les cybercriminels, qu’elles soient victimes ou le point initial d’attaques plus vastes. Bon nombre de ces organisations n’ont pas les moyens d’y faire face. Leurs infrastructures et politiques de sécurité sont moins sophistiquées et les collaborateurs formés pour réagir aux menaces restent peu nombreux. Car dans le paysage actuel, toute organisation, quelle que soit sa taille, est en danger. Étonnamment, de nombreuses PME commencent seulement à se rendre compte qu’elles sont exposées aux mêmes menaces que les autres entreprises. Des prises de conscience qui ont bien souvent lieu après une attaque. D’après Cisco, plus de la moitié (54 %) des cyberattaques entraînent des dommages de plus de 500 000 Euros. Assez pour mettre hors d’opération une petite/moyenne entreprise non préparée, de façon permanente.

Plus de la moitié des moyennes entreprises ont été victimes d’une faille

Cisco dévoile, via une enquête à partir de 1 816 PME interrogées dans 26 pays que les PME/PMI ne sont pas prêtes. Selon le rapport, 53% des répondants ont été victimes d’une faille. Ces atteintes à la protection des données ont souvent des répercussions financières durables sur l’entreprise. Interessant de savoir ce qu’entendent les répondants par faille. Les PME font face à moins de 5 000 alertes de sécurité par jour. Les PME examinent 55.6 % des alertes de sécurité. Les attaques ciblées contre les employés telles que le phishing (79 %), les menaces persistantes avancées (77 %), les logiciels de rançon (77 %), les attaques DDoS (75 %) et la prolifération du BYOD (74 %) sont les cinq principaux problèmes de sécurité des PME. Plus de la moitié de ces organisations font appel à des partenaires externes pour obtenir des conseils et services, des interventions en cas d’incident et de la simple surveillance. Le site référence en matière d’actualités liées à la cybersécurité ZATAZ propose un service pour mettre sous surveillance des données proposées. Une veille dans le black market et autres réseaux pirates afin de contrer l’utilisation d’informations volées, piratées …

Optimiser l’efficacité de la sécurité

Si les entreprises de taille moyenne disposaient des ressources en personnel nécessaires, elles seraient plus susceptibles d’investir dans : la mise à niveau de la sécurité de leurs endpoints vers une protection avancée plus sophistiquée contre les logiciels malveillants/EDR – la réponse la plus courante à 19% ; la protection des applications Web contre les attaques Web (18 %) ; le déploiement de la prévention des intrusions, toujours considérée comme une technologie essentielle pour arrêter les attaques réseau et exploiter les tentatives (17 %).

Alors, que peuvent faire de plus les PME ?

Le risque zéro n’existe pas. Les organisations peuvent prendre des mesures pour rendre leur entreprise « sensible à la sécurité ». Pour cela, une série d’initiatives : transmettre aux employés les connaissances de base nécessaires. Le mois de la cybersécurité démarre et c’est l’occasion idéale d’informer les employés sur les vecteurs d’attaques les plus répandus et ce qu’ils peuvent faire pour les éviter. Passer en revue leurs polices d’assurance pour assurer la couverture des pertes d’affaires découlant d’une cyberattaque. Anticiper les messages de communication en cas de crise, pour contribuer à une récupération plus rapide et limiter les atteintes à leur réputation.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cyber-attaque, Cybersécurité, DDoS, Entreprise, escroquerie, Leak, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

2 commentaires

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, ransomware, Securite informatique

Xbash, le futur Petya ?

Xbash : dans la lignée de NotPetya, une nouvelle menace et famille de malware ciblant les serveurs Windows et Linux risque de faire grand bruit.

L’Unit42, unité de recherches de Palo Alto Networks, a découvert cette menace qui a toutes les caractéristiques de NotPetya. Baptisé Xbash, cette menace est un malware destructeur de données qui se fait passer pour un ransomware. Il combine des fonctions de cryptomineur, de ransomware, de botnet, d’auto propagation et se répand en visant les mots de passe à faible niveau de sécurité et les failles non-patchées

XBash, nouvelle menace aux allures de Petya

Les chercheurs de l’Unité 42, unité de recherches de Palo Alto Networks  ont découvert une nouvelle famille de malware qui ciblent les serveurs Windows et Linux. Nous pouvons lier ce malware, que nous avons baptisé Xbash, à Iron Group, un groupe de cybercriminels qui s’est fait connaître par des attaques de type ransomwares.

Xbash est un ransomware et un cryptomineur. Il a également des capacités d’autopropagation (c’est-à-dire qu’il est des caractéristiques d’un vers semblable à WannaCry ou Petya/NotPetya). Il a également d’autres capacités non encore implémentées qui, quand elles le seront, pourraient lui permettre de se répandre très rapidement dans le système d’information d’une entreprise (là encore, tout comme WannaCry ou Petya/NotPetya).

Xbash se répand en visant les mots de passe faibles et les failles non-patchées. 

Xbash est dangereux pour les données ; il détruit les bases de données sous Linux dans le cadre de son action de ransomware. De plus nous n’avons trouvé aucune fonctionnalité au sein de Xbash qui pourrait permettre la restauration des données après paiement de la rançon. Cela signifique que, comme NotPetya, Xbash est un malware destructeur de données qui se fait passer pour un ransomware.

Les entreprises peuvent se protéger de Xbash en :

  1. Changer les mots de passe par défaut et utiliser des mots de passe forts
  2. Faire régulièrement les mises à jour de sécurité
  3. Installer des outils de sécurités sur les terminaux d’accès sous Linux et Windows
  4. Empêcher l’accès à des hôtes inconnus sur internet (pour bloquer l’accès aux serveurs C&C — Command and Control — établis par les cybercriminels)
  5. Implanter et maintenir des procédures de sauvegarde et restauration strictes et efficaces

Les particularités de Xbash 

Pour conclure, Xbash combine des fonctions de cryptomineur, de ransomware, de botnet et d’autopropagation. Les systèmes basés sous Linux sont visés par ses capacités de botnets et de ransomware. Les systèmes basés sous Windows sont visés par ses capacités d’autopropagation et de cryptomineur. La composante ransomware cible les bases de données sous Linux et les détruit. À ce jour, 48 transactions entrant sur ces wallets pour un revenu total de 0,964 bitcoin. 48 victimes ont payé près de 6000 dollars (ou près de 5209 euros) au total, à l’heure où nous écrivons ces lignes.

Iron Group

Toutefois il n’y a aucune preuve que les rançons payées ont permis aux victimes de récupérer leurs données. Aucune fonctionnalité pour rendre cette restauration possible tout au long du processus de paiement de rançon. Les analyses estiment que c’est surement l’œuvre du Iron Group, un groupe déjà publiquement lié à d’autres campagnes de rançonnage y compris celles incluant l’utilisation du RCS (Remote Control System) dont le code source aurait été volé à la HackingTeam en 2015.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Paiement en ligne, Piratage, ransomware, ransomware, Securite informatique

L’aéroport de Bristol mis au tapis par un logiciel de rançonnage

L’aéroport de Bristol touché par une cyberattaque. Parmi les problèmes, les écrans d’affichage des vols mis hors ligne pendant 48 heures.

L’aéroport de Bristol (Royaume-Uni) ferme une partie de son informatique. Durant deux jours, en raison d’un ransomware, les écrans d’affichage dédiés aux vols perturbés pendant deux jours. La BBC explique que le rançongiciel a mis une telle pagaille que des systèmes entiers ont du être retirés du réseau. Pour répondre aux attentes des voyageurs, tableaux blancs et marqueurs ont servi de palliatifs ! Le code malveillant peut se retrouver dans la place de plusieurs façons : un employé qui clique sur le mauvais mails ; une clé usb sur un bureau ; une infiltration d’un des serveurs et exécution du code pirate. Un message sur le site web de l’aéroport indique que les vols sont « ok ». Un délai supplémentaire est à prévoir pour l’enregistrement et l’embarquement. Le logiciel de rançonnage n’aurait pas infecté des systèmes sensibles de l’aéroport. Cependant, le site web de la structure aéroportuaire ne proposait plus toutes ses options habituelles.

Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, ransomware, ransomware, RGPD, Securite informatique

Cyberattaques : mon voisin, le pirate !

3 commentaires

Cyberattaques – On a l’habitude de dire que l’été est une période propice aux cambriolages. Mais il en de même pour le piratage qui ne « baisse pas pavillon »… bien au contraire. En effet, la cuvée 2018 a été marquée par une série de cyberattaques diverses et variées. C’est l’occasion de rappeler que la cybersécurité est un enjeu crucial tant au niveau local que global, qu’il s’agisse de grandes entreprises ou de petites structures, du secteur privé ou public.

Marie-Benoîte Chesnais, experte en cybersécurité chez CA Technologies, fait le point sur les principaux évènements de l’été, liés à cette menace grandissante qu’est le « piratage ».

Cyberattaques : Les temps forts de l’été

Au début de l’été, le FBI a adressé une note confidentielle aux banques américaines concernant des risques potentiels d’attaques informatiques visant les distributeurs de billets (« ATM Cashout »). L’Inde en a finalement été la première victime, le 11 août dernier. Le « butin », d’un montant d’environ 10 millions d’euros, retiré dans plus de 2 100 distributeurs de billets, dispersés dans 28 régions différentes du pays. Une sacre logistique.

Début août, c’est une mairie du Var (La Croix-Valmer), victime d’une attaque par « cryptovirus ». Les données des administrés prises en otage contre rançon. Refusant de céder aux pirates, la mairie a dû réunir une cellule de crise composée d’informaticiens afin de tenter de désamorcer la situation. Cependant, avec la mise en place du RGPD, la mairie encourt une amende salée…

Cyberattaques à l’encontre de banque

Le 26 août, sur fond de soupçon de revendications politiques, c’est la Banque d’Espagne qui, cette fois-ci, a dû composer avec un site internet bloqué par intermittence, fort heureusement sans conséquences sur la bonne marche des services. De même, en Belgique, les services publics fédéraux visés chaque semaine par des attaques.

Les failles de sécurité sont lourdes de conséquences mais peuvent également entacher la notoriété des entreprises. A titre d’exemple, Instagram constate une recrudescence des attaques, sous la forme de tentatives de « phishing » ou d’hameçonnage dont le nombre est passé de 150 à plus de 600 par jour.

A noter le bilan ÉTÉ Français de ZATAZ.COM sur les fuites de données dans l’hexagone.

Argent, Arnaque, backdoor, Banque, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, ransomware, Securite informatique

Cybermenaces : Que font les pirates en 1 minute ?

Cybermenaces : Les pirates feraient perdre plus de 1 million de dollars par minute dans leurs actions malveillants.

Alors que les cybercriminels et les cybermenaces ont coûté 600 milliards de dollars à l’économie mondiale l’an dernier, la société RiskIQ, spécialiste dans la gestion des menaces numériques, a fait appel à des recherches exclusives pour examiner le volume croissant d’activités malveillantes sur Internet.

L’étude montre que, dans une seule minute employée par les pirates informatique du globe, 1 138 888 dollars sont perdus. Dans ce même laps de temps, 1 861 personnes sont victimes d’un acte de piratage. Malgré les efforts des entreprises pour se protéger contre les cybermenaces externes, en dépensant jusqu’à 171 233 dollars en 60 secondes aux USA, les pirates continuent à proliférer et à lancer des campagnes malveillantes.

« Alors qu’Internet et sa communauté continuent de croître à un rythme rapide, le ciblage de la menace se développe également à grande échelle« , déclare à DataSecurityBreach.fr le PDG de RiskIQ, Elias Manousos.

Les tactiques d’attaque

Les méthides d’attaques ? Elles vont des logiciels malveillants au phishing en passant par les attaques de chaînes d’approvisionnement ciblant des tiers. Les motivations pirates incluent l’argent, les dommages à la réputation à grande échelle, la politique et l’espionnage. Les cybercriminels continuent de réussir à déployer des tactiques à partir de 1 274 logiciels malveillants uniques (par minute) et à déployer plus de neuf publicités piégées.

Activités malveillantes

Selon la société américaine RiskIQ, toutes les minutes, 1,5 entreprises de part le monde touchée par un ransomware. Coût moyen pour les entreprises : 15 221 $. (corrections, pertes …) ; En une minute, 17 applications mobiles se retrouvent sur liste noire. 21 nouveaux domaines sont créés pour du phishing et un nouveau site utilisateur (volontaire ou non) du script d’extraction de crypto-monnaie CoinHive voit le jour.

Android, Antivirus, APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Logiciels, Piratage, ransomware, Sécurité, Securite informatique, Smartphone, Virus

Les malwares les plus actifs en France en juillet 2018

3 commentaires

Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.

Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).

Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.

Point d’entrée facile

« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.« 

Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.

Top 10 des virus et malwares

Nom du malware Description Impact mondial Impact sur le pays
1 – Coinhive Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée. 18.60% 16.02%
2 – Roughted Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace. 5.85% 11.60%
3 – Cryptoloot Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-miningen ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829 6.92% 7.07%
4 – Conficker Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers. 3.50% 4.09%
5 – Jsecoin Ce mineur JavaScript peut être intégré à n’importe quel site Web.  JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité. 5.92% 3.76%
6 – Dorkbot Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver. 6.91% 2.98%
7 – Locky Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté. 1.72% 2.10%
8 – Fireball Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants. 3.02% 1.99%
9 – Nivdort Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows, il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants. 2.57% 1.88%
10 – Andromeda Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets. 6.35% 1.66%
10b – Ramnit Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système. 2.71% 1.66%

 

Antivirus, backdoor, Cyber-attaque, Cybersécurité, DDoS, Logiciels, Piratage, ransomware, Securite informatique

8,4 millions de malwares en 2017

Les experts G DATA ont comptabilisé le nombre de nouveaux codes malveillants sur l’année 2017. Avec l’indice des attaques bloquées ils ont également défini les dangers les plus actifs. Ils communiquent le résultat de leur recherche.

Afin d’avoir une vue d’ensemble de l’évolution quantitative des logiciels malveillants, les types de logiciels malveillants sont comptés en fonction de leur signature. Au-delà du simple comptage, seules les variantes qui partagent les mêmes morceaux de code malveillant sont prises en compte. En 2017, le nombre de nouveaux logiciels malveillants a augmenté de 22,9% par rapport à 2016 pour atteindre 8 400 058.

22 attaques par utilisateur

Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité de ceux-ci. Un seul logiciel malveillant peut en effet avoir plus d’impact que des milliers. Pour définir cet indice de dangerosité des codes, les attaques détectées par les solutions G DATA sont remontées et comptabilisées. La moyenne des attaques sur le second semestre 2017 pour 1000 utilisateurs est de 119,4. Autrement dit, chaque jour, un utilisateur d’une solution G DATA sur huit, est confronté à une attaque bloquée. Cela représente en moyenne 22 attaques par utilisateur sur le second semestre 2017.

 

Banque, Bitcoin, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Piratage, ransomware, ransomware, Securite informatique

cryptojacking et ransomware

La 23e édition du rapport annuel cyber menaces (ISTR) revient sur les attaques de l’année écoulée. Alors que les ransomware deviennent coûteux pour les cyber criminels et donc moins rentables, et que l’activité est saturée, un nouveau type d’attaque s’ajoute à l’arsenal des cyber attaquants et génère de nouvelles sources de revenus pour ces derniers : le cryptojacking.

Le cryptojacking est une nouvelle forme de menace pour la cybersécurité et la protection des données personnelles. L’appât du gain continu chez les cyber attaquants présente un danger pour les particuliers, les équipements et les entreprises, qui risquent de voir leurs ressources monétaires détournées de leurs systèmes. Les cyber attaquants n’hésitent pas à s’infiltrer aussi bien dans les ordinateurs personnels que dans les plus grands centres de données.

Le rapport annuel de Symantec sur les cyber menaces fournit un aperçu compréhensif du panorama des menaces informatiques dans le monde et des enseignements précieux quant aux activités émergentes et motivations des cyber attaquants. Le rapport analyse les données issues du réseau international d’intelligence de Symantec (le Symantec Global Intelligence Network), le plus important réseau civil de surveillance des menaces, qui comprend 126,5 millions de capteurs dans le monde et couvre 157 pays et territoires.

Alors que les Etats-Unis, la Chine et l’Inde occupent à nouveau les 3 premières places du classement mondial des pays où la cybercriminalité est la plus active, la France chute d’une place et se place au 9e rang mondial. L’Hexagone confirme sa place dans le top 10 et maintient sa position au 4e rang européen (derrière l’Allemagne et le Royaume-Uni). Tous types de menaces confondues, la France enregistre une légère baisse de pourcentage de cyber attaques sur un niveau mondial, passant de 2,35 % à 2,21 % entre 2016 et 2017 – contrairement aux Etats-Unis, à la Chine, la Russie ou encore l’Allemagne.

Explosion du cryptojacking : la France se classe au 4e rang mondial en volume d’attaques

L’an passé, la montée en flèche de la valeur des crypto-monnaies a déclenché une ruée vers l’or parmi les cybercriminels, qui entendent profiter d’un marché volatile. Les détections de service de minage installés sur des terminaux ont progressé de 8 500 % en 2017. L’Hexagone concentre 5,9 % du volume total des attaques de cryptojacking, se classant ainsi au 4e rang mondial (et au 2e rang européen).

Sans avoir besoin de compétences poussées en information et grâce à quelques lignes de code, les cyber criminels peuvent désormais profiter des ressources dont disposent les particuliers et les entreprises grâce à la puissance de traitement de calcul liée aux processeurs, afin de procéder à des attaques de cryptojacking. Les services de minage peuvent ralentir les équipements, entraîner une surchauffe des batteries et, dans certains cas, rendre les systèmes inutilisables. De leur côté, les entreprises sont susceptibles de constater des interruptions de réseau et une intensification de l’utilisation des processeurs, ce qui alourdit les coûts liés à l’infrastructure réseau.

« Il est désormais possible, pour des esprits malveillants, d’exploiter les ressources stockées sur nos téléphones, nos ordinateurs ou n’importe quel appareil connecté à des fins lucratives, » déclare Laurent Heslault. « S’ils ne renforcent pas leurs systèmes de défense, les utilisateurs risquent de devoir payer pour une autre personne utilisant leur appareil de façon frauduleuse ».

Les ransomware se stabilisent et s’installent durablement

En 2016, la rentabilité des ransomware a déclenché une saturation du marché entraînant une baisse notable du montant moyen des rançons : 522 dollars en 2017 contre 1 077 en 2016.  C’est pourquoi le ransomware est entré dans la catégorie des attaques dites communes, poussant nombre de cybercriminels à se tourner vers le minage pour attaquer les crypto monnaies et tirer pleinement profit de leur valeur élevée.

Malgré une réduction du nombre de familles de ransomware, la quantité de variantes de logiciels malveillants de ce type a augmenté de 46 % par rapport à 2016. Les groupes criminels innovent donc moins mais demeurent toujours très productifs.

Quant à la France, elle chute de la 11e à la 17e place dans le classement mondial des pays les plus actifs en matière de ransomware.

Multiplication des attaques sur les mobiles

Les attaques sur mobiles continuent d’augmenter avec une progression de 54 % du nombre de nouvelles variantes de logiciels malveillants en 2017. Durant l’année, Symantec a bloqué en moyenne 24 000 applications mobiles malveillantes par jour. Une progression qui s’explique par un faible taux d’adoption des dernières mises à jour de la part des utilisateurs. Les attaquants profitant ainsi de l’utilisation d’anciens systèmes d’exploitation : à titre d’exemple, seulement 20 % des appareils sont à jour avec, utilisant la dernière version d’Android, et seulement 2,3 % possèdent la dernière mise à jour mineure.

La protection des données des utilisateurs est également mise à mal par des applications mobiles appelées grayware, qui ne sont pas entièrement malveillantes mais peuvent se révéler menaçantes avec pour dommage la fuite du numéro de téléphone (63 % des applications de ce type) ou encore la localisation du téléphone (37 %). Le problème est loin d’être réglé puisque leur nombre de logiciels grayware a augmenté de 20 % en 2017.

Par ailleurs, les ransomware constituent une vraie menace sur mobile, certains utilisent même la reconnaissance vocale forçant les victimes à dévoiler à l’oral leur code de déverrouillage plutôt que de rentrer manuellement sur le téléphone.

La majorité d’attaques ciblées utilise une méthode unique pour infecter les appareils des victimes

Le nombre global d’attaques ciblées en 2017 est en hausse de 10 % comparé à l’année précédente. Symantec suit aujourd’hui les activités de 140 groupes de cyber attaquants. 71 % des attaques ciblées ont commencé par du spear phishing (phishing ciblé), une méthode établie depuis des années, pour compromettre les victimes. Si les groupes responsables d’attaques ciblées continuent d’exploiter des tactiques testées dont la viabilité a été prouvée pour infiltrer les entreprises, les menaces de type zero day sont de plus en plus délaissées : seulement 27 % des groupes d’attaques ciblées ont utilisé ces vulnérabilités l’an dernier.

Le secteur de la sécurité s’est longtemps penché sur les différents types de dommages que pourraient produire les cyberattaques. Un groupe d’attaquants sur dix utilise des attaques conçues pour déstabiliser leurs cibles, la théorie fait dorénavant place à la pratique.

Une augmentation de programmes malveillants de 200 % au sein des logiciels légitimes

En 2017, Symantec a enregistré une augmentation de 200 % du nombre de programmes malveillants injectés au sein de logiciels légitimes. Cela équivaut à 1 attaque par mois, contre 4 en 2016. La non-application des mises à jour des logiciels offrent aux cyber criminels un point d’entrée pour s’infiltrer dans des réseaux bien gardés.

Petya en est un parfait exemple. En juin dernier, après avoir utilisé un logiciel de comptabilité ukrainien comme point d’entrée, Petya a utilisé une variété de méthodes de propagation de la menace dans les réseaux d’entreprise, permettant ainsi le déploiement de leur charge utile malveillante.