Comment un courriel reçu peut bloquer toute l’entreprise, retour d’expérience

Voici un retour d’expérience fait par nos équipes sur les évènements qui ont pu se produire ces deux dernières semaines chez nos clients et qui illustrent parfaitement la nécessité de maintenir une vigilance particulière sur ce qu’il se passe sur les réseaux d’entreprises. Tout commence par l’envoi d’un courriel d’apparence légitime faisant croire à un…

Voici un retour d’expérience fait par nos équipes sur les évènements qui ont pu se produire ces deux dernières semaines chez nos clients et qui illustrent parfaitement la nécessité de maintenir une vigilance particulière sur ce qu’il se passe sur les réseaux d’entreprises.

Tout commence par l’envoi d’un courriel d’apparence légitime faisant croire à un problème sur le traitement d’une demande qui aurait été faite. L’utilisateur est invité à consulter le dossier en question dans une pièce jointe dans laquelle se trouve un fichier malveillant.

Un exemple de ce courrier a été analysé par le chercheur en sécurité Malekal (http://www.malekal.com/2013/11/22/stealer-spam-malicieux-en-francais/)

Comme on peut le constater dans l’article, seulement un antivirus détectait la pièce jointe comme étant frauduleuse (aujourd’hui quasiment tous les antivirus la détecte comme malveillante). Aussi, le fichier exécutable utilise un icône “PDF” le rendant moins dangereux aux yeux de l’utilisateur. Si l’affichage des extensions de fichiers n’est pas activé, on peut croire qu’il s’agit bien d’un PDF.

Attention, il faut noter qu’un fichier PDF requiert également une certaine prudence lors de son ouverture.

Une fois que l’utilisateur ouvre ce fichier malveillant, son poste de travail est immédiatement infecté. Cette compromission est totalement transparente pour l’utilisateur.

A partir de ce moment là, la machine tente de communiquer avec son serveur de Commande et Contrôle qui lui remet sa « liste de mission ». Au programme : envoyer du courrier indésirable (SPAM).

Il s’ensuit un envoi massif de courriel avec un rendement d’environ 100 messages par heure.

Les messages que nous avons pu relevés étaient des tentatives de hameçonnage (Phishing) faisant croire à un problème de carte bancaire lors d’un achat en ligne et invitant la future victime à se rendre sur un faux site aux couleurs d’une célèbre entreprise financière américaine (voir illustration ci-dessous).

 

Les conséquences pour l’entreprise ayant le poste infecté sur son réseau ne se fait pas attendre. En effet, la conséquence immédiate de cet envoi massif de « pourriel » est d’enregistrer l’adresse IP publique de l’entreprise dans les listes noires « publiques » (blacklist).

De ce fait, lorsqu’un courriel légitime est envoyé depuis le réseau de l’entreprise, celui-ci sera refusé par le serveur destinataire car il considère la provenance comme étant douteuse.

L’activité de l’entreprise peut ainsi être partiellement paralysée en quelques heures.

Nous avons également relevé le cas où un prestataire de service possédant une machine infectée par ce même malware se connectait au réseau de l’entreprise. Le résultat est le même, puisqu’il envoie des SPAM depuis le réseau de l’entreprise, l’adresse IP publique identifiée comme ayant un comportement malveillant est celui de l’entreprise.

On peut également noter, que la méthode d’infection peut varier. Bien que dans ce cas, la compromission du poste est “déclenché” par l’utilisateur qui ouvre un fichier compromis, l’infection peut également être faite sans action de l’utilisateur comme dans les cas de malvertising (voir http://labo.cyberprotect.fr/?p=1381)

Il faut donc détecter au plus vite l’infection afin d’éviter d’être black-listé mais également, lorsqu’il est trop tard, procéder au plus vite au retrait de l’adresse IP des listes noires.

Il est rappelé par cette occasion qu’il faut être vigilant avec les courriels que l’on reçoit et particulièrement lorsque des pièces jointes y sont attachées. Comme nous pouvons le constater dans cet exemple, bien qu’il soit un élément de base de la sécurité, l’antivirus n’est pas suffisant pour maintenir à lui seul un niveau de sécurité suffisant, cela au regard de la complexité et de la diversité des menaces et vulnérabilités actuelles qui pèsent sur un système d’information.

React