Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.
Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.
SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.
Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.
SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.
L’éditeur allemand G DATA, annonce l’intégration de DeepRay dans ses solutions de sécurité.
Avec la nouvelle technologie de détection DeepRay basée sur l’apprentissage machine et l’intelligence artificielle, les solutions de sécurité de G DATA disposent d’une capacité de détection accrue face aux menaces connues et inconnues. G DATA fut, il y a plus de 30 ans, l’un des premiers éditeurs de solutions antivirus. Aujourd’hui, l’entreprise démontre une fois de plus sa force d’innovation en présentant DeepRay, une nouvelle technologie qui utilise le machine learning pour évaluer et détecter la dangerosité des codes malveillants.
Réseau neuronal en action
Les solutions de sécurité G DATA pour les particuliers utilisent désormais un réseau neuronal composé de modèles mathématiques de type « Perceptron » pour identifier et analyser les processus suspects. Ce réseau fonctionne avec un algorithme continuellement amélioré par l’apprentissage adaptatif et l’expertise des analystes G DATA. Les différents types de fichiers exécutables sont catégorises à l’aide d’indicateurs, tel que par exemple le rapport entre la taille du fichier et le type de code exécutable, la version du compilateur utilisée ou encore le nombre de fonctions système importées.
Analyse des processus en mémoire
Si DeepRay définit un fichier comme suspect, une analyse approfondie se lance dans la mémoire du processus correspondant. Il s’agit alors d’identifier le fonctionnement du fichier et de le rapprocher à un modèle de familles de logiciels malveillants connus ou à un comportement malveillant en général. Grâce à DeepRay, les solutions de sécurité G DATA détectent bien plus tôt les fichiers malveillants dissimulés et préviennent ainsi des dommages qu’ils peuvent causer au système.
« Avec DeepRay, nous changeons les règles du jeu. Grâce à cette nouvelle technologie, nous pouvons regarder au-delà de la dissimulation des logiciels malveillants et repousser efficacement les campagnes d’infection à développement rapide. La protection de nos clients est considérablement augmentée« , déclare Andreas Lüning, fondateur et CEO de G DATA Software AG.
Le rapport sur les cybermenaces du 1er semestre 2018 montre une évolution des types de dangers. Si avec plus de 2 millions de nouveaux types de logiciels malveillants, la tendance est à la décroissance sur les malwares classiques, les attaques web dites « sans fichiers » explosent. Autre information notable du rapport : avec 7,5 attaques bloquées par mois et par utilisateur, G DATA situe la France au 8éme rang mondial de son indice de dangerosité.
Le développement de nouveaux types de logiciels malveillants a légèrement diminué au cours du premier semestre par rapport à l’année précédente. Au total, G DATA Security Labs a classé 2 396 830 nouveaux échantillons comme nocifs. En moyenne, environ 13 000 nouveaux échantillons de logiciels malveillants ont été détectés chaque jour, soit environ 9 par minute.
Le développement des familles de logiciels malveillants actuelles et leur utilisation sont soumis à de fortes fluctuations. Neuf des dix menaces les plus courantes pour les utilisateurs de PC au cours de l’année écoulée ne figurent plus parmi les dix principales menaces évitées au cours du premier semestre 2018.
Les codes utilisés changent, mais la manière dont ils sont diffusés se confirment mois après mois. Aujourd’hui, les attaques sont lancées pour la majorité à partir de sites Web, les attaquants délaissant la diffusion par fichiers exécutables.
Indice de dangerosité stable avec 3 attaques par mois par utilisateur
Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité réelle de ces codes : un seul code aux méthodes de diffusion innovantes ou à la technicité supérieure peut causer plus de dégâts que des milliers. Pour définir cet indice de dangerosité, les attaques détectées chez les utilisateurs des solutions G DATA sont comptabilisées. La moyenne mondiale des attaques sur le premier semestre 2018 pour 1000 utilisateurs est de 94,29. Autrement dit, chaque jour dans le monde un utilisateur d’une solution G DATA sur 10 est confronté à une attaque bloquée. Cela représente en moyenne 18 attaques par utilisateur sur les 6 premiers mois de l’année 2018.
La France dans le top 10 avec 7,5 attaques par mois !
Avec 250 attaques bloquées pour 1000 utilisateurs, la France arrive en 8eme position de ce classement : chaque jour en France, un utilisateur d’une solution G DATA sur 4 est confronté à une attaque bloquée. Cela représente en moyenne 7,5 attaques bloquées par utilisateur par mois.
La grande tendance du cryptojacking
Durant le premier semestre, le Cryptojacking – minage des monnaies virtuelles à l’insu de l’internaute – se révèle être l’activité principale des cybercriminels. Sur les 6 premiers mois de l’année, les Cryptomineurs ont inondé le Web. 4 cryptomineurs sont dans le Top 10 mondial des codes nuisibles détectés par G DATA. Ils sont 5 dans le Top 10 français ! Cachés sur de nombreux sites Internet Web, ces cryptomineurs téléchargent des scripts sur l’ordinateur de l’utilisateur et minent des cryptomonnaies à l’insu de l’utilisateur. Face à la difficulté technique de miner des bitcoins (trop de ressources de calcul nécessaires), c’est le minage de Monero qui est maintenant privilégié.
Le Webassembly, aussi pour les malwares
Le standard bytecode Webassembly est généralement utilisé comme langage par les cryptomineurs pour s’intégrer dans les navigateurs Internet. Webassembly est un supplément à Javascript supporté par tous les navigateurs. Avec Webassembly, les développeurs web peuvent réaliser une exécution de code plus rapide dans le navigateur : une technologie idéale pour les cryptomineurs… Ce qui est nouveau, c’est que Webassembly n’est plus seulement utilisé dans les cryptomineurs. Il est aussi utilisé par les codes malveillants.
PUP ou Malware ?
Classer la dangerosité des codes a toujours été une tâche difficile. À partir de quel niveau d’ingérence, un logiciel publicitaire devient-il nuisible ? Cette question se pose également avec les cryptomineurs : il n’est pas toujours clair si les utilisateurs ont accepté ou non l’installation du mineur dans leur navigateur. Ce critère de dangerosité est représenté dans deux catégories de classement : Malware et PUP (programme potentiellement indésirable). Les chiffres globaux du 1er semestre montrent cette ambivalence : 3 cryptomineurs sont parmi le top 10 des malwares et 4 sont dans le top 10 des PUP.
Faits marquants du premier semestre
Forte croissance des attaques à l’escroquerie au support technique en juillet
Au mois de juillet, une série de scripts trojan spécialisés dans l’affichage de fausses alertes dans les navigateurs est arrivée à la cinquième position des dangers détectés. Sous prétexte d’infection, des fenêtres invitent l’utilisateur à contacter un support technique. À l’autre bout du fil, un arnaqueur attend sa victime…
L’arrivée poussive de Fortnite sur Android fut une aubaine pour les cybercriminels. Surfant sur cet engouement, de nombreuses fausses APK du jeu ont vu le jour. Vol d’identifiants et abonnement SMS coûteux étaient au programme pour les plus impatients. Piqué au vif pour ne pas avoir été choisi comme store officiel pour l’application, Google pointe publiquement la faille de sécurité (corrigée depuis) présente dans l’application officielle disponible chez l’éditeur EPIC.
Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.
Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).
Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.
Point d’entrée facile
« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.«
Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.
Top 10 des virus et malwares
Nom du malware
Description
Impact mondial
Impact sur le pays
1 – Coinhive
Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée.
18.60%
16.02%
2 – Roughted
Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace.
5.85%
11.60%
3 – Cryptoloot
Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-mining, en ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829
6.92%
7.07%
4 – Conficker
Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers.
3.50%
4.09%
5 – Jsecoin
Ce mineur JavaScript peut être intégré à n’importe quel site Web. JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité.
5.92%
3.76%
6 – Dorkbot
Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver.
6.91%
2.98%
7 – Locky
Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté.
1.72%
2.10%
8 – Fireball
Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants.
3.02%
1.99%
9 – Nivdort
Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows,il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants.
2.57%
1.88%
10 – Andromeda
Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets.
6.35%
1.66%
10b – Ramnit
Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système.
Selon une étude, 33 % des adultes français consultent des sites pornographiques au moins 1 fois par jour. 40% d’entre eux ont déjà été contaminés par un virus informatique en visitant des sites pour adultes.
Une étude, réalisée en octobre 2017, sur les cyber-risques associés à la consultation de sites pornographiques vient de produire ses chiffres. Réalisée auprès de 1000 Français, cette étude Kaspersky révèle que 33 % des adultes consultent des sites pornographiques au moins 1 fois par jour, et ce pour une durée moyenne de 22 minutes par visite… soit l’équivalent de 4 jours par an ! Et cette pratique n’est pas sans risque : 40% contaminés par un virus informatique en consultant ces sites. Parmi les autres chiffres, 17% ignoraient que les smartphones et tablettes s’infectaient. 18 % croient protéger leur ordinateur en effaçant leur historique de navigation. 20 % pris en flagrant délit de consultation d’un site pour adultes. 23 familles de malwares Android ont été identifiées comme exploitant la pornographie.
Vous retrouverez la liste complète à la fin de cette brève. 21 % des personnes interrogées accusent leurs proches pour ne pas avoir à en assumer la responsabilité. 18 % protégés en utilisant un navigateur web en mode privé. 22 % reconnaissent consulter des sites pornographiques au travail.
Top 10 des virus informatiques
1. Le cheval de Troie : Sous couvert d’un programme d’apparence inoffensive, il véhicule une charge malveillante.
2. Le téléchargement « drive-by » : Il s’agit d’une méthode courante de propagation de malware. Les cybercriminels recherchent des sites web non sécurisés afin d’implanter un script malveillant dans le code de leurs pages.
3. Le détournement de clic : Cette méthode consiste à inciter un utilisateur à cliquer sur un objet sur une page web tout en lui faisant croire qu’il clique sur un autre.
4. Les bots Tinder : Ces programmes automatiques se font passer pour de véritables utilisateurs sur les sites de rencontre.
5. Le chat-phishing : Des cybercriminels fréquentent des sites de rencontre ou des forums, y encourageant les utilisateurs à cliquer sur des liens vers des forums de live sex et autres sites pornographiques.
Ransomware et pornware
6. Le ransomware : Les cybercriminels utilisent des « bloqueurs » pour interdire à la victime l’accès à sa propre machine, invoquant souvent la présence de « contenu pornographique illicite » en misant sur le fait que quiconque ayant consulté des sites pour adultes est moins enclin à se plaindre aux autorités.
7. Le vers : Ce type de programme se reproduit sans écrire son code dans d’autres fichiers. Au lieu de cela, il s’installe une fois sur la machine d’une victime puis recherche un moyen de se propager à d’autres.
8. Le pornware : Il peut s’agir d’un programme authentique mais aussi d’un adware installé par un autre programme malveillant et conçu pour afficher du contenu inapproprié sur la machine de la victime.
9. Le spyware : Logiciel d’espionnage qui permet à un pirate d’obtenir subrepticement des informations sur les activités en ligne de la victime et de les exfiltrer de sa machine.
10. Le faux antivirus : De prétendus logiciels antivirus exploitent la crainte des utilisateurs. Des malwares dans votre machine pendant le visionnage de contenus pornographiques.
Le Trojan nommé par ses auteurs « GandCrab! » attribue l’extension *.GDCB aux fichiers chiffrés. Actuellement, deux versions du ransomware sont connues.
Après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu s’il a déjà été lancé sur la machine afin d’éviter d’être lancé à nouveau (redémarré), puis force l’arrêt des processus des logiciels selon une liste définie par les pirates. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique. Le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque est chiffré dans un thread séparé. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.
Le Trojan utilise un serveur de contrôle dont le nom de domaine n’est pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécute la commande nslookup et cherche les données nécessaires dans la sortie correspondant à la commande exécutée. Actuellement, il est impossible de déchiffrer les fichiers touchés par GandCrab! Le moyen le plus fiable pour protéger les fichiers est d’effectuer une sauvegarde régulière de toutes les données importantes sur des supports externes… et de ne pas cliquer sur n’importe quoi. (avec DrWeb)
Effacer les virus ? Les ordinateurs, tablettes et portables ont aussi le droit à leur nettoyage de printemps. Pour optimiser les performances de vos appareils, voici 6 points à ne pas négliger.
Effacer les virus ! D’abord, nettoyer physiquement ses appareils. Ceci vaut surtout pour les unités centrales qui s’encrassent rapidement : les ventilateurs qui permettent de refroidir la machine aspirent de l’air extérieur. L’accumulation de poussières perturbe le refroidissement et peut entraîner une surchauffe, voire le plantage de la machine. Pour cela, il est recommandé de dépoussiérer l’appareil 1 à 2 fois par an avec un petit compresseur à air. Il est conseillé de faire de même avec l’ordinateur portable et de nettoyer également clavier, souris, écran (notamment ceux des téléphones et des tablettes). Les téléphones portables contiendraient 500 fois plus de bactéries que la cuvette des toilettes.
Ensuite, comme le rappelle ESET, mettre à jour les logiciels. La mise à jour des logiciels, quels qu’ils soient, est très importante pour la sécurité des appareils. Elle permet de réparer les éventuelles failles ou vulnérabilités découvertes par l’éditeur. Activer les mises à jour automatiques est un bon moyen de ne plus les oublier.
Faire une copie de ses fichiers sur un autre appareil. Il est important de sauvegarder ses données sur un support amovible (tel un disque dur). Les appareils ne sont pas infaillibles et personne n’est à l’abri d’une fuite de données. Cette étape est nécessaire avant de passer à la suivante, qui consiste à nettoyer entièrement le disque dur de l’ordinateur.
Nettoyer le disque dur
Le disque dur est soumis à rude épreuve : la navigation sur Internet, autant que les logiciels dont on se sert régulièrement (traitement de textes, jeux…) réduisent la place disponible sur le disque dur. Ceci entraîne un ralentissement de la machine. La première étape consiste à vider la corbeille puis à stocker ses données sur un support amovible, comme une clé USB ou un disque dur externe par exemple. Il faudra ensuite compresser les données et vider le cache Internet. Enfin, l’utilisateur devra lancer le nettoyage de disque, une fonctionnalité disponible chez Microsoft® par exemple, et qui permet de gagner de l’espace sur le disque dur en supprimant les fichiers inutiles (cookies, fichiers temporaires…). Une deuxième opération est également nécessaire : il s’agit de la défragmentation. Elle permet de ranger les fichiers les uns à la suite des autres afin d’optimiser l’espace disponible sur le disque dur.
Désinstaller les logiciels inutiles et effacer les virus
Supprimer les logiciels inutiles, voire néfastes, permet de libérer de l’espace sur le disque dur et d’améliorer la sécurité de son appareil. Pour ce faire, il est possible d’utiliser un logiciel spécialisé ou de chercher dans les paramètres de l’ordinateur l’outil de désinstallation d’un programme ou d’une fonctionnalité. C’est le moment d’en profiter pour supprimer les logiciels inutiles dont on ne se sert plus.
Et pour finir, protéger son appareil avec une suite de sécurité efficace afin de ne plus être obligé d’effacer les virus qui auraient pu s’installer dans votre ordinateur, tablette ou smartphone.
Les chercheurs ESET annoncent la publication d’un vaste document de recherche en 3 parties « En route with Sednit ». L’observation de l’utilisation simultanée d’un bootkit et d’un rootkit par les cybercriminels a permis d’analyser leurs cibles et méthodes.
Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques.
Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.
Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.
Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit. « L’intérêt pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».
Selon les chercheurs, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day. Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs.
Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.
Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le moyen de diffusion essentiel du ransomware Locky.
En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels. Au cours du premier trimestre 2016, les services les plus touchés étaient Apple, Paypal et Google.
Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.
L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.
Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !
We have disabled some functionality of the website due to a hacking attempt. Phone lines are not affected. InfoLine 13 62 14
