Articles

[Résumé] Veille Cyberprotect Juin 2016

Si la nouvelle version de Locky vous a paralysé pendant 1 mois, Cyberprotect vous propose sa veille !

Les Faits Marquants

Les entreprises sensibles vont devoir débourser pour être en règle en matière de cybersécurité -> lire

Changer notre approche de la cybersécurité : think outside the box ! -> read

Interprétation des rapports de cybersécurité : où en sont nos dirigeants ? -> lire

Les investissements en cybersécurité en France sont trop faibles -> lire

Assurer les cyber risques : un marché en plein essor -> lire 

Les chiffres

3 sur 4 : c’est le nombre d’entreprises encore vulnérables aux cyberattaques -> lire 

Les attaques DDos ont augmenté de 125% en 1 an -> lire 

EMEA : seuls 8% des dirigeants d’entreprises considèrent la cybersécurité comme une priorité -> infographie

Cyber attaques : 77% ciblent les PME -> lire 

NEWS !

You can now have access to all our articles in english in our new blog ! Come and visit !

Cyberprotect : SIEM ? NoSIEM ? Read us !

Risk management with or without Cyberprotect ? Our solution !

Un Trojan Android capable d’envoyer des attaques de type DDoS et de recevoir des instructions par SMS

L’éditeur d’antivirus Dr Web a découvert un nouveau programme malveillant pour Android capable d’effectuer des attaques de type DDoS et de recevoir des instructions par SMS.

Après l’installation du Malware Android.DDoS.1.origin, ce dernier créé une icône similaire à celle de Google Play. Lorsqu’on clique sur l’icône, Google Play se lance normalement mais le Malware s’active à l’insu de l’utilisateur.

Une fois lancé, le Cheval de Troie tente de se connecter à un serveur distant et, en cas de succès, il transmet le numéro de téléphone compris à son Centre de Commande et de Contrôle (C&C) puis attend de nouvelles commandes via SMS.

Si les cybercriminels souhaitent lancer une attaque DDoS, il leur suffit d’envoyer au smartphone une commande contenant le paramètre [server : port]. Dès réception, le Malware commence à lancer des paquets de données à l’adresse spécifiée.

Le Malware est détectable par son impact sur les performances de l’appareil infecté (vitesse de connexion, batterie…) et sur les coûts qu’il peut engendrer suite à l’envoi des SMS (surtout s’ils sont à destination de numéros surtaxés) et à la consommation de bande passante.

La méthode de contamination reste encore à découvrir mais la thèse de l’ingénierie sociale est en position pour les analystes de l’éditeur d’antivirus.

[Source]

 

Des attaques TDoS pour 20$/jour

Les attaques de type DDoS sont généralement attribuées aux Hacktivistes et autres pirates qui cherchent à nuire une entreprise en rendant son site Internet indisponible. Cependant, avec la montée des ventes de botnets, les options d’attaques disponibles se sont amplifiées.

Ce ne sont plus uniquement les serveurs et comptes de messagerie qui se font attaquer, on remarque une augmentation du nombre d’attaques visant les lignes téléphoniques fixes et mobiles.

Ces attaques dites TDoS pour « Telecommunications Denial of Service » sont souvent utilisées des cyber-escrocs qui ont réussi à accéder aux comptes bancaires de leur victime. Dans le circuit de surveillance des transactions frauduleuses, les banques contactent leurs clients pour demander si une transaction inhabituelle est légitime ou tout simplement pour avertir les clients à ce sujet.

Mais, si la boîte de réception de la victime est inondée de dizaines de milliers de messages de spam, il sera difficile de remarquer l’avertissement venant de la banque.

De même, si l’appel téléphonique de la banque ne peut pas se produire parce que le téléphone mobile du client et mêmes les autres téléphones sont bombardés d’appels bidons et de SMS : des heures, voire plusieurs jours peuvent passer jusqu’à ce qu’ils parviennent à communiquer avec le client et, dans cet intervalle de temps, les escrocs disparaissent avec l’argent transféré.

Les cyber-escrocs n’ont pas les capacités à réaliser des attaques TDoS de grande ampleur, mais heureusement, des spécialistes peuvent fournir le service. C’est ainsi que Curt Wilson, Analyste chez Arbor Networks, a trouvé des offres de service de DDoS incluant l’attaque des services téléphoniques disponible à partir de 20$ par jour. Un autre fournisseur de service annonçait dans sa pub fournir une attaque DDoS pour 5$/heure  avec un tarif dégressif avec une formule à 20$ pour 10 heures !

Aussi, il faut rester vigilant lorsqu’on utilise des systèmes téléphoniques via IP. Les pirates peuvent utiliser ces réseaux VoIP afin d’inonder d’appels ou de SMS les victimes sur le même principe que les serveurs relayant des SPAM ou des attaques DoS classiques. Ainsi peut trouver  dans les systèmes de VoIP compromis une plateforme de rebond pour le Vishing (cousin du Phishing) et autres attaques en tout genre.

[Source]

Anonymous : anatomie d’une attaque contre le Vatican

Imperva a publié un rapport qui révèle les détails d’une attaque menée par le groupe Hacktiviste des Anonymous contre une cible de grande envergure sans préciser laquelle, le New York Times révèlera qu’il s’agissait du Vatican et du site des journées mondiales de la jeunesse Catholique.

L’étude montre que le groupe Anonymous imite généralement l’approche utilisé par les pirates à but lucratif en tirant parti des méthodes connues, injection SQL et DDoS, pour mener à bien leur attaque. On constate que les hacktivistes, même s’il a développé des outils d’attaque personnalisés, utilisent généralement des kits peu coûteux. Selon Amichai Shulman, co-fondateur et CTO d’Imperva, la recherche montre, en outre, que les Anonymous vont d’abord essayer de voler des données et si cela échoue, tenter une attaque DDoS.

L’attaque était composée de trois phases distinctes (cf page 7 du rapport) : le recrutement et la communication,la reconnaissance et les attaques de la couche applicative, et enfin une attaque par déni de service distribué (DDoS).

Les médias sociaux, en particulier Twitter, Facebook et YouTube, étaient le principal moyen pour suggérer un cible et de justifier l’attaque. Ces canaux de communication servaient également au recrutement de bénévoles pour participer à la campagne de piratage.

Les hackers d’un niveau avancé ne constituaient qu’une partie des bénévoles et ont été principalement actifs qu’au cours de la phase de reconnaissance et durant les attaques sur les applications.

Les Anonymous ont mis au point des outils personnalisés, notamment pour permettre de lancer des attaques DDoS depuis un navigateur mobile. Cependant la majorité des outils utilisés sont ceux qui sont disponibles pour le grand public. Contrairement aux attaques à but lucratif, les Anonymous se reposent rarement sur des techniques de piratage courantes telles que les botnets, les malwares ou le phishing.

Retrouvez le rapport complet [ici]

Pastebin en plein dans une attaque DDoS

Pastebin.com subit actuellement une attaque de type DDoS, un communiqué a été publié afin d’expliquer et de s’excuser pour les désagréments causés.

D’après les responsables du site, 27000 adresses IP ont été bloquées afin de limiter l’attaque, mais le  nombre de machines participantes ne cesse d’augmenter. On notera toutefois, la pédagogie du communiquée qui explique clairement la méthode d’attaque ainsi que le fait que les utilisateurs ne sont certainement pas au courant de l’usage qui est fait de leur machine par un réseau Botnet. Pastebin a également décidé de publier la liste des adresses IP bloquées sur un serveur externe à leur service.

Pastebin est une plate-forme servant aux développeurs à échanger des lignes de code, c’est aussi sur ce site que l’on découvre régulièrement les informations volées suite à des intrusions dans des bases de données (login, mots de passe, emails…).

Retrouvez la liste des adresses IP bloquées [ici]

Les attaques DDoS via IPv6 en rodage

Les cybercriminels ont commencé à lancer des attaques DDoS (Distributed Denial of Service) contre les réseaux qui transmettent les données par le protocole IPv6, selon un rapport publié récemment par Arbor Networks.

Bill Cerveny, Ingénieur cher Arbor Networks, a déclaré que « même si 2011 a été la première année où des attaques DDos via IPv6 ont été enregistrées, de tels incidents restent rares car ils ne sont pas économiquement pertinent pour les cybercriminels ».

Certaines entreprises ont prévu des augmentations de plus de 100% de leurs volumes de trafic IPv6 au cours des prochains mois, mais les changements seront négligeables par rapport au volume de trafic global. Du fait que leurs équipements de sécurité et d’analyse réseau ne sont pas entièrement compatibles, la majorité des organisations restent réticentes à passer à la nouvelle version du protocole IP.

La plupart des attaques DDoS relevées sont, pour la plupart, des tests effectués par les organismes malveillants afin de valider leurs développements afin de ne pas louper les nouvelles opportunités d’attaques qui s’offriront à eux.

Il faudra également faire attention avec les routeurs qui géreront à la fois IPv4 et IPv6, la cohabitation suggère de n’en négliger aucun des deux. Il faudra assurer la sécurité des passerelles entre les deux protocoles.

Retrouver le rapport complet [ici]

Attaques DDoS : il n’y a pas que la taille qui compte

Les experts en sécurité de Radware annonce que la taille des attaques de type DDoS importe peu et que les petites attaques peuvent-être fatales.

Contrairement à l’idée reçue que les cyber-attaques consommant le plus de bande-passante sont celles qui font le plus de dégâts, les problèmes les plus graves viennent habituellement dans des flux de taille modeste. Tel est l’une des conclusions du rapport « 2011 Global Application and Network Security Report ».

76 % des sondés ont été victimes d’attaques sous la barre des 1 Gbps et qui ont causé plus de dommages que les attaques DDoS utilisant dix fois plus de bande passante (Les attaques de plus de 10 Gbps représentent seulement 9% des sondés). 32% des attaques utilisaient au maximum 10 Mbps de bande-passante.

Généralement, on considère que la sévérité d’une attaque est en corrélation avec la bande-passante utilisée. Radware a constaté que le type d’attaque est également significatif. Ainsi la saturation par requêtes HTTP nécessite moins de ressources qu’une attaque de type UDP-flooding.

D’autres statistiques intéressantes du rapport :

  • 56% des cyber-attaques ont ciblé la couche applicative, contre 46% au niveau du réseau
  • Les sites de services financiers regroupent 28% des attaques Dos/DDoS, les sites gouvernementaux et de jeux en ligne 25% chacun
  • Les attaques d’Hacktivistes respectant un agenda politique ou social représentent 22% des attaques

Les attaques DDoS sont devenues beaucoup plus organisées et complexes en 2011, avec parfois l’utilisation de 5 vecteurs d’attaques par campagne.

Retrouver le rapport [ici]

La fermeture de Megaupload soulève une vague de cyber-attaques à travers le monde

Dès l’annonce de la fermeture du site par le FBI, les sites des Etats Major Américains et des ayants droits ont été la cible d’attaques de type DDoS (Déni de Service).

Le groupe des Anonymous a mené une riposte rapide en guise de protestation. Quelques minutes après l’annonce de la fermeture de Megaupload par le procureur de l’Etat de Virginie, plusieurs sites internet sont tombés comme des mouches. Parmi eux le ministère de la Justice américaine, le FBI, la maison blanche, la Recording Industry Association of America (RIAA), la Motion Picture Association of America (MPAA), Warner Music Group, l’IMC, et Universal Music et bien d’autres partisans de la loi sur le piratage en ligne (SOPA) et la Loi sur la protection de propriété intellectuelle (PIPA) en cours d’étude au Congrès Américain.

Ces attaques de type DDoS ce sont essentiellement appuyées sur la vulnérabilité des serveurs web aux collisions de hachage (voir notre article à ce sujet).

Nul doute que les attaques vont se prolongées ces prochains jours !

Attaque DDoS importante en Chine

L’attaque a eu lieu entre le 5 et 12 Novembre contre une entreprise Chinoise, qui souhaite rester anonyme, et son fournisseur DNS. Il s’agit d’une attaque de type DDoS d’une ampleur importante puisque les données envoyées ont atteint 45Gbit/s, ce qui équivaut à 69 millions de paquets ou de 15000 connexions par seconde soit bien au dessus de ce que peuvent traiter les machines classiques.

L’assaut a été soutenu pendant près de huit jours, réparti en quatre vagues d’attaques. Cette offensive a été trois fois plus importante en paquets par seconde que le précédent record que le spécialiste en DDoS Prolexic a dû atténuer en 2011.

Une étude pour le 3ème trimestre de cette année a démontré que la tendance est à la baisse concernant le nombre d’attaques de type DDoS mais la taille des attaques ne cesse d’accroître.