Articles

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.

Comment un courriel reçu peut bloquer toute l’entreprise, retour d’expérience

Voici un retour d’expérience fait par nos équipes sur les évènements qui ont pu se produire ces deux dernières semaines chez nos clients et qui illustrent parfaitement la nécessité de maintenir une vigilance particulière sur ce qu’il se passe sur les réseaux d’entreprises.

Tout commence par l’envoi d’un courriel d’apparence légitime faisant croire à un problème sur le traitement d’une demande qui aurait été faite. L’utilisateur est invité à consulter le dossier en question dans une pièce jointe dans laquelle se trouve un fichier malveillant.

Un exemple de ce courrier a été analysé par le chercheur en sécurité Malekal (http://www.malekal.com/2013/11/22/stealer-spam-malicieux-en-francais/)

Comme on peut le constater dans l’article, seulement un antivirus détectait la pièce jointe comme étant frauduleuse (aujourd’hui quasiment tous les antivirus la détecte comme malveillante). Aussi, le fichier exécutable utilise un icône “PDF” le rendant moins dangereux aux yeux de l’utilisateur. Si l’affichage des extensions de fichiers n’est pas activé, on peut croire qu’il s’agit bien d’un PDF.

Attention, il faut noter qu’un fichier PDF requiert également une certaine prudence lors de son ouverture.

Une fois que l’utilisateur ouvre ce fichier malveillant, son poste de travail est immédiatement infecté. Cette compromission est totalement transparente pour l’utilisateur.

A partir de ce moment là, la machine tente de communiquer avec son serveur de Commande et Contrôle qui lui remet sa « liste de mission ». Au programme : envoyer du courrier indésirable (SPAM).

Il s’ensuit un envoi massif de courriel avec un rendement d’environ 100 messages par heure.

Les messages que nous avons pu relevés étaient des tentatives de hameçonnage (Phishing) faisant croire à un problème de carte bancaire lors d’un achat en ligne et invitant la future victime à se rendre sur un faux site aux couleurs d’une célèbre entreprise financière américaine (voir illustration ci-dessous).

 

Les conséquences pour l’entreprise ayant le poste infecté sur son réseau ne se fait pas attendre. En effet, la conséquence immédiate de cet envoi massif de « pourriel » est d’enregistrer l’adresse IP publique de l’entreprise dans les listes noires « publiques » (blacklist).

De ce fait, lorsqu’un courriel légitime est envoyé depuis le réseau de l’entreprise, celui-ci sera refusé par le serveur destinataire car il considère la provenance comme étant douteuse.

L’activité de l’entreprise peut ainsi être partiellement paralysée en quelques heures.

Nous avons également relevé le cas où un prestataire de service possédant une machine infectée par ce même malware se connectait au réseau de l’entreprise. Le résultat est le même, puisqu’il envoie des SPAM depuis le réseau de l’entreprise, l’adresse IP publique identifiée comme ayant un comportement malveillant est celui de l’entreprise.

On peut également noter, que la méthode d’infection peut varier. Bien que dans ce cas, la compromission du poste est “déclenché” par l’utilisateur qui ouvre un fichier compromis, l’infection peut également être faite sans action de l’utilisateur comme dans les cas de malvertising (voir http://labo.cyberprotect.fr/?p=1381)

Il faut donc détecter au plus vite l’infection afin d’éviter d’être black-listé mais également, lorsqu’il est trop tard, procéder au plus vite au retrait de l’adresse IP des listes noires.

Il est rappelé par cette occasion qu’il faut être vigilant avec les courriels que l’on reçoit et particulièrement lorsque des pièces jointes y sont attachées. Comme nous pouvons le constater dans cet exemple, bien qu’il soit un élément de base de la sécurité, l’antivirus n’est pas suffisant pour maintenir à lui seul un niveau de sécurité suffisant, cela au regard de la complexité et de la diversité des menaces et vulnérabilités actuelles qui pèsent sur un système d’information.

Les attaques ciblées ne visent plus uniquement les grandes organisations

Un nouveau rapport de Symantec montre que, si le nombre de vulnérabilités a diminué de 20%, le nombre d’attaques malveillantes a continué à monter en flèche avec une augmentation de 81%.

En outre, les violations de données sont en augmentation, et les attaquants se concentrent sur les menaces mobiles.

Le nombre de logiciels malveillants uniques est passé à 403 millions d’exemplaires en 2011.

Les attaques « avancées »

Traditionnellement, les attaques dites « avancées » se concentraient sur les organismes publics et visaient les personnels clés. Cette tendance tend à se modifier puisqu’aujourd’hui les attaques ciblées touchent des organisations de toutes tailles et toutes les catégories de personnel.

Plus de 50% de ces attaques ont visé des organismes de moins de 2500 employés, et près de 18% de moins de 250 salariés. Plusieurs raisons justifient le ciblage des sociétés modestes en taille, notamment du fait qu’elles font parties des partenaires des grandes entreprises et qu’elles sont moins bien protégées.

Selon les chiffres fournis dans le rapport, les attaques ciblées sont passées de 77 attaques par jour en 2010 à 82 par jour en 2011.

Ces attaques utilisent surtout l’ingénierie sociale et les logiciels malveillants dans le but de dérober des données sensibles.

Les employés ayant des fonctions dans les ressources humaines, les relations publiques ou les ventes sont une perspective intéressante pour les attaquants. Bien qu’ils n’aient pas un accès direct à l’information sensible recherchée, ces employées peuvent servir de rebond ou de contact. Une fois  compromis, les comptes de ces personnels pourront servir à propager des logiciels malveillants, ainsi, des mails acheminent des logiciels malveillants auront comme sources des personnes de confiances.

Les réseaux sociaux

Dans le même temps, le niveau de SPAM a diminué considérablement et le nombre de nouvelles vulnérabilités découvertes a baissé de 20%.

Ces statistiques démontrent un fait intéressant, les attaquants utilisent des outils effacent qui exploitent les vulnérabilités connues mais également le manque de réactivité des acteurs pour mettre leurs systèmes à jour.

Le SPAM se réduit mais les cybercriminels se tournent de plus en plus vers les réseaux sociaux pour lancer les attaques, le potentiel de propagation y est très fort. La nature même des réseaux sociaux invitent l’utilisateur à être à l’aise. Ce dernier suppose alors, à tort, qu’il n’y a pas de risque et on remarquera une baisse de vigilance.

Les fuites d’informations personnelles

Environ 1,1 millions d’identités ont été volées en moyenne par une fuite de données en 2011, soit une augmentation spectaculaire par rapport à ce qui été observé les autres années. Les incidents liés au piratage ont posé les plus grandes menaces, avec 187 millions d’identités exposées en 2011. Cependant, la cause la plus fréquente de fuite de données est la perte d’un support de stockage ou de transmission contenant des informations personnelles : ordinateur, smartphone, disque dur externe, clé USB…18,5 millions d’identités ont été impactées par des fuites de ce type.

La menace mobile

Etant donné que les tablettes et les smartphones continuent de mieux se vendre que les PC, des informations toujours de plus en plus sensibles seront disponibles sur les appareils mobiles. Les travailleurs apportent leurs smartphones et tablettes dans l’environnement d’entreprise tandis que les équipes IT ne parviennent pas à les gérer et à les sécuriser. Cela peut conduire à une augmentation des violations de données lors de la perte d’appareils mobiles ce qui représente un risque pour l’information de l’entreprise si cette information n’est pas correctement protégée. Des recherches récentes de Symantec montrent que 50% des téléphones perdus ne seront pas retournés et 96% (y compris ceux qui sont retournés) auront leur contenu lu.

Les vulnérabilités sur mobiles ont augmenté de 93% 2011. Dans le même temps, il y avait une augmentation des menaces ciblant le système d’exploitation Android. Avec le nombre de vulnérabilités dans l’espace mobile en hausse et les auteurs de malwares n’ont pas seulement transférés les malwares existant sur les appareils mobiles, mais ont créé des logiciels malveillants mobiles spécifiques, adaptés aux possibilités uniques des mobiles (comme par exemple l’exploitation des SMS surtaxés). 2011 a été la première année où les logiciels malveillants mobiles ont représenté une menace tangible pour les entreprises et les consommateurs.

Retrouvez le rapport complet [ici]

[Source]

4,3% des emails contiennent un fichier malveillant

L’éditeur d’Antivirus Kaspersky vient de publier son bulletin de Janvier 2012 sur les courriers indésirables.

Les grandes tendances 2012 en matière de courriers indésirables y sont dévoilées. Les escrocs s’appuient sur l’actualité pour tromper les internautes. En ce début d’année, il a été relevé l’exploitation de la fête de la St Valentin pour délivrer des malwares et des escroqueries. Il est annoncé également l’utilisation des futures élections présidentielles comme moyen de captation des victimes (en France, aux USA, en Russie…). Enfin les Jeux-Olympiques de Londres vont également permettre aux cybercriminels de générer des courriers malveillants.

Quelques chiffres intéressants sont à relever :

  • 4,3% des emails contenaient au moins un fichier malveillant
  • Le courrier indésirable représente environ 76% du trafic global
  • L’Inde est le 1er pays émetteur de pourriels, la France est 14ème (avec 2% des courriers indésirables)

Retrouvez le bulletin complet [ici]

BlackHole : kit d’exploits n°1 dans le monde

Le laboratoire M86 Security vient de publier son rapport pour le 2nd semestre 2011. L’analyse est faite sur l’activité des malwares et SPAM, l’utilisation des kits d’exploits, l’usage des faux certificats numériques et le détournement des réseaux sociaux.

Les points clés du rapport sont les suivants :

  • Les attaques ciblées sont devenues sophistiquées et visent une vaste gamme d’organismes : commerciales, infrastructures critiques, institutions publiques et militaires
  • L’usage de faux certificats et/ou de certificats d’authentification volés est devenu fréquent lors d’attaques ciblées
  • Les logiciels malveillants sont de plus en plus encastrés dans des sous-couches et dans différents formats, les logiciels de sécurité ont donc du mal à explorer en profondeur lors des analyses
  • Blackhole est devenu le kit d’exploits le plus répandu dans le monde, ses nouvelles versions ont été d’abord déployées en Europe de l’Est. Ses auteurs ont augmenté la fréquence des mises à jour et intègrent toujours plus de fonctionnalités
  • Les fausses notifications dans les réseaux sociaux deviennent un moyen courant, pour les spammeurs, pour duper les utilisateurs en cliquant sur des liens indésirables. Le réseau social le plus propice aux campagnes malveillantes reste Facebook, avec notamment de fausses annonces promettant de gagner des produits high-tech
  • Les sites web corrompus par injection de code malveillant jouent un rôle majeur dans la distribution de malwares et SPAM
  • Près de la moitié du contenu Web malveillant est hébergé aux USA
  • Les produits les plus couramment ciblés pour infecter les machines sont : Microsoft Internet Explorer, Oracle Java, Adobe Acrobat Reader, Adobe Flash et les produits Microsoft Office
  • Le volume global de SPAM continue de décroître, atteignant le plus bas volume depuis 4 ans

 

Retrouver le rapport M86 Security Labs [ici]

33% des malwares présents sur internet sont indétectables par un outil de sécurité traditionnel

Cisco vient de publier, pour le 4ème trimestre 2011, son rapport sur les menaces du Web. Certains points importants nous montrent l’omniprésence des dangers sur internet:

  • Les utilisateurs finaux ont rencontré en moyenne 339 malwares par mois (362 par mois en moyenne sur l’année).
  • Il a été rencontré en moyenne 20141 hébergements malveillants par mois en 2011 (contre 14217 en 2010, soit une augmentation de plus de 40%).
  • Les dénis de service ont légèrement augmenté (en 2011) tandis que le volume mondial de SPAM continue à décliner.
  • Au cours du dernier trimestre 2011, 33% des malwares présents sur internet n’étaient pas détectable par un outil de sécurité traditionnel basé uniquement sur les signatures.

Ce dernier point démontre l’obligation pour les entreprises de se protéger avec de nouveau moyen. Le simple usage d’un antivirus et d’un pare-feu ne suffit plus, il faut maintenant s’appuyer sur une solution complémentaire, capable de détecter les changements de comportement des postes de travail.

Comment détecter un malware inconnu ? Puisque l’on ne sait pas à quoi il ressemble, la recherche, seule, de signature est inefficace. Face à des malwares inconnus, une surveillance permanente du réseau de l’entreprise est obligatoire.

Retrouvez le rapport complet : [Cisco 4Q11 Global Threat Report]