Les intranets, nouvelle cible des cryptolocker

Il y a quelques jours (le 1er mars 2016), Kaspersky révélait qu’une nouvelle évolution de CTB-Locker (locky…) s’attaquait maintenant au serveur web…

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

[Bulletin d’Alerte Cyberprotect] Campagne d’infection Web (Adobe Flash Player)

Une campagne d’infection de sites Internet sous WordPress est actuellement en cours d’exploitation.

Il s’agit de sites Internet légitimes qui redirigent la navigation Internet de l’utilisateur à son insu dans le but de télécharger des virus.

Le vecteur de compromission des postes est principalement le logiciel Adobe Flash Player.

Nous vous recommandons d’appliquer une expression régulière sur vos différents équipements de sécurité permettant de bloquer les pages de sites Internet contenant la redirection malveillante.

\\"\]\]\.join\(\\"\\"\);"\)\);\s*/\*[a-f0-9]{32}

Nous insistons également sur le fait qu’il est impératif de maintenir les versions d’Adobe Flash Player à jour sur vos machines utilisateurs et, si  possible, de désinstaller complètement Adobe Flash Player.

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSL

De nouvelles vulnérabilités concernant OpenSSL ont été rendues publiques (CVE-2016-0701 et CVE-2015-3197).

La première vulnérabilité (CVE-2016-0701) permet à un attaquant de pouvoir récupérer des informations essentielles au décryptage de la clé de chiffrement en utilisant des nombres premiers dit « non sûr » dans l’algorithme de Deffie-Hellman.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.2. Les versions en 1.0.1 ne sont pas affectées par cette vulnérabilité.

Un correctif a été apporté dans la version 1.0.2f.

La deuxième vulnérabilité (CVE-2015-3197) permet à une personne malveillante de négocier avec le chiffrement SSLv2 et de compléter la jonction SSLv2 même si la méthode de chiffrement SSLv2 a été désactivée sur le serveur.
Le protocole SSLv2 ne doit pas être désactivé via le paramètre SSL_OP_NO_SSLv2 pour que la vulnérabilité soit exploitée.
L’attaquant peut alors intercepter les communications.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.1 et 1.0.2.
Solution :
•    mettre à jour vers 1.0.1r pour les utilisateurs de la version 1.0.1
•    mettre à jour vers 1.0.2f pour les utilisateurs de la version 1.0.2

Le CERT Cyberprotect recommande à tous les utilisateurs de OpenSSL de mettre à jour leur version de OpenSSL en version 1.0.1r ou 1.0.2f.

Références :
https://www.openssl.org/news/secadv/20160128.txt
https://www.kb.cert.org/vuls/id/257823

Répertoire de téléchargement des dernières versions de OpenSSL :
https://www.openssl.org/source/

Attention au Flash

Ces derniers mois, on retrouve régulièrement le même schéma d’infection sur les systèmes d’information des entreprises avec la visite d’un site Internet infecté qui renvoie vers le téléchargement d’un virus.

Ceci donne du fil à retordre à certaines équipes techniques pour désinfecter les postes alors que d’autres ne rencontrent pas ces problèmes car elles ne sont pas infectés pour des raisons plutôt simples : elles n’ont pas de vecteur de compromission sur leur parc.

Un scénario de compromission

Nous constatons régulièrement des infections de machines à la suite de visites de sites Web injectés par du code malveillant.

Le scénario que l’on retrouve le plus souvent, fait suite à la visite d’un site légitime par un utilisateur.

Ce site légitime et de confiance sur lequel se rend l’utilisateur peut avoir été compromis et utilisé pour propager des logiciels malveillants.

En général, la navigation de l’utilisateur est redirigée à son insu vers un autre site dans le but de télécharger un virus.

Avant d’effectuer cette redirection malveillante, il est possible qu’il y ait une vérification de la configuration de la machine de l’utilisateur.

Cette vérification inclut le navigateur utilisé mais également certains logiciels annexes comme Adobe Flash Player ou encore Java de l’éditeur Oracle.

Il y a quelques temps, les attaquants s’intéressaient beaucoup à Java. De nombreuses vulnérabilités étaient régulièrement découvertes et exploitées pour ce logiciel.

Depuis plusieurs mois, l’intérêt se porte sur Adobe Flash Player. Ce logiciel permettant la lecture de contenus multimédias sur Internet est très présent sur le parc informatique des entreprises.

Aujourd’hui, Adobe Flash Player est le vecteur de compromission n°1.

Lorsqu’on regarde le nombre de vulnérabilités découvertes, on comprend pourquoi…

 

Graph_CERT_java_flash

Source tableau : CERT CYBERPROTECT

 

Mais pourquoi ces logiciels sont-ils plébiscités ?

La raison est simple, ils sont présents sur de nombreux équipements informatiques et sont multiplateformes.

C’est-à-dire qu’on les retrouve aussi bien sur une machine Windows, MAC, Linux et même sur d’autres plateforme comme les TV connectés (voir https://securelist.com/blog/73229/malware-on-the-smart-tv/).

Ce qui fait, qu’avec une vulnérabilité présente sur le logiciel Adobe Flash Player, cela rend l’équipement sur lequel il est installé vulnérable…

A noter, que certains sites comme Youtube ou Facebook abandonnent Flash au profit du HTML 5.

Des solutions ?

Pour se mettre à l’abri d’une compromission par ce vecteur, il y a deux solutions :

  • Maintenir à jour les logiciels
  • Désinstaller les logiciels.

La première solution est la seule solution dans la mesure où les logiciels en question sont nécessaires dans le cadre professionnel. C’est souvent le cas pour Java, qui est utilisé dans beaucoup d’application métier.

La seconde solution est la plus efficace car il faut savoir qu’outre le fait de maintenir les logiciels à jour demande des ressources, surtout lorsque les mises à jour sont fréquentes, des vulnérabilités de type « 0-day » peuvent exister et être exploitées.

Ces vulnérabilités dites « 0-day » peuvent être définies comme des vulnérabilités non corrigées par l’éditeur car ce dernier ne connait pas encore la vulnérabilité ou est en train de créer un correctif.

Entre le moment où une vulnérabilité est exploitée et que l’application d’un correctif est effectuée, il peut se passer un laps de temps important qui peut avoir des conséquences graves pour les entreprises en cas de compromission.

Et là on ne parle que du cas où l’on est conscient de la vulnérabilité, imaginez lorsqu’une vulnérabilité non connu est exploitée !

 

Daniel DIAZ – Analyste Cybersécurité – CERT Cyberprotect

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSH

Une vulnérabilité critique dans le client OpenSSH a été rendue publique (CVE-2016-0777).

Un pirate qui aurait compromis un serveur peut récupérer toutes les clés nécessaires pour se connecter à d’autres serveurs que possèderaient le client OpenSSH.

La vulnérabilité concerne les versions OpenSSH 5.4 et supérieures

Nous vous invitons à mettre à jour OpenSSH vers sa version la plus récente (après avoir vérifié la compatibilité avec les applications utilisées) –>  http://www.openssh.com/

Il est également possible d’appliquer la modification suivante sur vos machines pour remédier à la vulnérabilité :

dans le fichier ‘/etc/ssh/ssh_config

ajoutez la ligne suivante :

UseRoaming no

L’option existe mais n’est pas documenté.

ATTENTION, ne pas placer cette option dans la configuration du serveur (sshd_config).

Pensez à redémarrer le service SSH.

Plus d’informations sur http://seclists.org/oss-sec/2016/q1/97

L’ENISA publie le compte rendu d’activité de l’exercice « Cyber Europe 2014 »

L’ENISA publie aujourd’hui dans sa version publique le compte-rendu d’activité de l’exercice pan-Européen de cyber-sécurité  Cyber Europe 2014  (CE2014).  Le rapport, qui a été validé par les États-membres, donne un panorama détaillé de cet exercice de cyber-sécurité très complexe qui a été mené en 2014.

Le  principal  objectif  de  Cyber  Europe  2014  était  d’apprendre  aux  États-membres  à  coopérer  dans l’éventualité  d’une  cyber-crise.  L’exercice,  qui  s’est  déroulé  sur  trois  phases,  a  tout  d’abord  permis  de mesurer  l’efficacité  des  procédures  de  coopération  et  de  remonter  des  informations  en  cas  de  cyber-incident  transfrontalier  menaçant  la  sécurité  de  services  et  d’infrastructures  stratégiques.  Il  également permis de tester les capacités nationales et les plans de secours en place avec la collaboration des secteurs public et privé.

L’exercice,  mis en place  tous les deux ans par l’ENISA,  a été  organisé conjointement par des représentants des pays participants et a nécessité six (6) réunions de préparation  à travers l’Europe. Cet exercice, auquel ont participé plus de 1 500 participants venus de 29 États-membres de l’UE et de l’AELE, a couvert pour la première fois l’intégralité des trois (3) phases de la procédure de réponse aux cyber-incidents – les phases technique, opérationnelle  et stratégique,  conçues pour être déployées successivement selon la gravité de l’incident :

– Phase 1 –  niveau technique (28-30 avril 2014, 49 heures) : détection de l’incident, analyse et limitation des dommages, échanges d’information.

– Phase  2  –  niveau  opérationnel (30  octobre  2014,  10  heures) :  alerte,  coopération,  limitation  des dommages  à  court  terme,  développement  d’un  aperçu  collectif  de  la  situation.

– Phase 3 –  niveau stratégique –  testé pour la première fois  (25 février 2015) : prise de décisions à partir d’un  aperçu collectif de la situation, débats politiques de haut niveau sur les stratégies à adopter pour limiter les dommages à long terme.
Le rapport montre que notre capacité commune à faire face à des incidents de cyber-sécurité de grande échelle  en  Europe  s’est  considérablement  améliorée  depuis  2010,  année  du  premier  exercice  Cyber Europe. Le partage en temps réel d’informations entre les pays s’est avéré un outil précieux pour accélérer la prise de décisions. Les Procédures Opérationnelles Standard de l’UE (POS-UE) créées en complément de ces  activités  de  coopération  apportent  aux  États-membres  des  consignes  à  suivre  en  cas  d’incident  de cyber-sécurité  de  grande  échelle.  Les  POS  continueront  d’être  perfectionnées  selon  les  évolutions  du contexte politique autour de la cyber-sécurité en Europe.
Le  rapport  montre  que  la  coopération  est  essentielle :  elle  permet  de  développer  une  meilleure compréhension des situations, de renforcer la confiance et de répondre plus rapidement en cas de crise. La Plateforme  de  Cyber  Exercice  (PCE)  développée  par  l’ENISA  pour  la  préparation,  la  mise  en  œuvre  et l’évaluation  de  l’exercice  s’est  avérée  être  un  outil  efficace.   L’ENISA  poursuit  actuellement  le développement  de  la  PCE  afin  d’accueillir  de  nouveaux  cyber-exercices  et  de  tester  des  scénarios techniques. Quatre-vingt dix huit pour cent (98%) des participants à la phase technique  ont déclaré  qu’ils souhaitaient participer à l’exercice suivant.

Lire la suite

[MàJ 01/07/2015] – [Bulletin d’alerte Cyberprotect] Campagne courriel malveillant – Trojan Bancaire Dridex

MàJ 04/08/2015

La menace reste toujours d’actualité. Les envois envoi de courriels malveillants continue.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/*.php  » (où * est une variable aléatoire) .

Dans le cas où le service « Pastebin..com » n’est pas utilisé il est recommandé de bloquer ce site sur les différents équipements de sécurité.

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.


 

MàJ 01/07/2015

La menace reste toujours élevée à ce jour. Une nouvelle vague d’envoi de courriel malveillant a eu lieu en ce début de semaine.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/get*.php  » (où * est une variable aléatoire) .

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

Lire la suite

[Bulletin d’alerte Cyberprotect] Faille critique Ghost sur systèmes GNU/Linux

Une faille critique touchant un grand nombre de systèmes GNU/Linux vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Glibc (GNU C Library)

Glibc une bibliothèque standard permettant d’implémenter des opérations courantes programmées dans le langage C

Le fait que la majorité des systèmes utilise Glibc rend cette vulnérabilité particulièrement critique, notamment les serveurs Web et toutes autres machines exposées à l’Internet.

Cette faille de Glibc permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine, et ce, sans besoin d’authentification

Cette faille semble être facilement exploitable depuis l’extérieur puisqu’il semblerait que l’on puisse prendre la main sur un serveur de messagerie simplement en envoyant un courriel.

La vulnérabilité a pour référence :

CVE-2015-0235 –> https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

Des correctifs de sécurité corrigeant la vulnérabilité sont disponibles auprès des éditeurs des différentes distributions GNU/Linux.

Nous vous invitons à mettre à jour vos systèmes en vous focalisant en priorité sur les machines accessibles depuis l’extérieur de votre réseau (serveur de messagerie, serveur Web,…)

N’hésitez pas à diffuser ce message à vos contacts.

Sécuriser les données personnelles : Les directives de l’ENISA relatives aux solutions cryptographiques

L’ENISA lance aujourd’hui deux rapports. Le rapport de 2014 « Algorithmes, taille clé et paramètres » est le document de référence fournissant un ensemble de directives aux preneurs de décisions, en particulier, les spécialistes qui conçoivent et mettent en œuvre les solutions cryptographiques pour la protection des données personnelles au sein des organisations commerciales ou des services gouvernementaux pour les citoyens. L’ « étude sur les protocoles cryptographiques » fournit une perspective de mise en œuvre, en couvrant les directives relatives aux protocoles exigées pour protéger les communications commerciales en ligne contenant des données personnelles.

« Algorithmes, taille clé et paramètres »

Ce rapport est un ensemble de propositions sous une forme facile à utiliser, mettant l’accent sur les services commerciaux en ligne qui recueillent, conservent et traitent les données personnelles des citoyens de l’Union européenne. Il fournit une mise à jour du rapport 2013, sur les directives cryptographiques relatives aux mesures de sécurité exigées pour protéger les données personnelles dans les systèmes en ligne. Par rapport à l’édition 2013, le rapport a été étendu pour inclure une section sur les canaux latéraux de matériel informatique et de logiciels, la génération de nombres aléatoires, une gestion clé de la durée de vie, alors que la partie sur les protocoles est étendue pour 2014 et est une étude indépendante sur les protocoles cryptographiques.

Le rapport explique deux aspects des mécanismes cryptographiques :

Si des données primitives ou un programme peuvent être envisagés pour être utilisés actuellement, dans le cas où ils sont déjà déployés ; si des données primitives ou un programme conviennent en vue d’un déploiement dans des systèmes nouveaux ou à venir.

Les questions de conservation des données à long terme sont analysées avec un nombre de problèmes généraux liés au déploiement des données primitives et des programmes. L’ensemble des mécanismes abordés dans ce rapport sont jusqu’à un certain point normalisés, et ils ont été soit déployés ou il est prévu de les déployer, dans les systèmes réels.

« Étude sur les protocoles cryptographiques »

Le second rapport se concentre sur le statut actuel dans les protocoles cryptographiques et encourage une recherche plus approfondie. Un bref aperçu est présenté sur les protocoles qui sont utilisés dans des domaines d’application relativement limités, tels que le domaine sans fil, les communications mobiles, le domaine bancaire ((Bluetooth, WPA/WEP, UMTS/LTE, ZigBee, EMV) et des environnements spécifiques mettant l’accent sur le « cloud computing ».

L’accent principal du rapport porte sur les directives aux chercheurs et aux organisations dans le domaine, qui comprennent :

Les protocoles de sécurité et cryptographiques, qui doivent être conçus par les experts en matière de protocole cryptographique, plutôt que jusqu’à présent par le réseautage et les experts en matière de protocole. De plus, les chercheurs doivent simplifier l’analyse et permettre aux outils automatisés pour fournir des garanties informatiques solides.
Une attention plus soutenue requise pour la vérification automatisée, afin que la mise en œuvre d’un protocole puissent répondre aux objectifs en matière de sécurité, et examine la manière dont les outils automatisés peuvent garantir la mise en œuvre correcte de la conception d’un protocole.
De petits changements insignifiants dans les protocoles peuvent avoir pour effet l’invalidation des preuves de garantie.
Les protocoles futurs doivent être conçus en utilisant des principes d’ingénierie solides et bien établis, faciliter l’analyse de sécurité officielle, et en conjonction avec des preuves de sécurité officielle, conçus dans la cryptanalyse de leurs constituants primitifs.
Les protocoles futurs ne doivent plus être plus complexes qu’ils n’ont besoin de l’être.
De plus amples travaux doivent être réalisés sur la vérification des API pour les protocoles d’application.

Udo Helmbrecht a déclara à propos de ce rapport : « Ce qui est mis en exergue est le besoin de programmes de certification dans toutes les phases du cycle de vie technologique. Les processus et les produits intégrés de « sécurité par la conception ou par défaut », sont des principes de base pour la confiance. La normalisation des processus est un élément essentiel dans l’assurance de l’application correcte de la réforme de protection des données dans le service aux citoyens européens et son marché intérieur. Les directives de l’ENISA s’efforcent de fournir le cadre adéquat dans la sécurisation des systèmes en ligne. »

Le règlement CE 611/2013 référence l’ENISA en tant que corps consultatif, dans le processus d’établissement d’une liste des mesures de protection cryptographiques appropriée pour la protection des données personnelles. Les directives cryptographiques de l’ENISA doivent servir de documents de référence. Dans cette optique, les principes directeurs sont relativement conservateurs, fondés sur la recherche de pointe actuelle, en abordant la construction de nouveaux systèmes commerciaux avec un long cycle de vie.

Pour les rapports complets : « Algorithmes, taille clé et paramètres » & « Étude sur les protocoles cryptographiques »

Retrouvez ce communiqué de presse sur le site de l’ENISA : http://www.enisa.europa.eu/media/press-releases/securiser-les-donnees-personnelles-les-directives-de-l-ENISA-relatives-aux-solutions-cryptographiques