Étiquettes des archives : cybercriminel

Payer ou ne pas payer ? Telle est la question

Parfois, en lisant un article sur les étapes à suivre si on est victime d’une attaque de ransomware, je rencontre des mots tels que : « Vous devriez envisager de payer ». Je soupire, gonfle les joues, expire et ferme l’onglet de navigation. Pourquoi ? Parce que vous ne devez jamais céder face à ces extorqueurs ! Et pas seulement parce que cela voudrait dire que vous soutenez leurs activités criminelles. Les raisons ne manquent pas. Laissez-moi vous expliquer pourquoi.

Premièrement, vous parrainez le développement des logiciels malveillants

En lire plus :Payer ou ne pas payer ? Telle est la question

Ransomware : on ne rigole plus

Pour commencer, petit retour en arrière…

Le 10 septembre, le ransomware-malware DoppelPaymer a chiffré 30 serveurs d’un hôpital de la ville allemande de Düsseldorf, suite à quoi le débit de patients malades s’est effondré. Il y a une semaine, à cause de cette baisse, l’hôpital n’a pas pu accepter une patiente qui devait être opérée en urgence et l’a redirigée vers l’hôpital de la ville voisine. Elle est décédée pendant le trajet. Il s’agit du premier décès directement lié à l’attaque d’un ransomware.

Cette histoire est très triste, surtout lorsque l’on y regarde de plus près : il y a eu  » l’accident  » fatal (en supposant que les cybercriminels n’avaient pas prévu que leurs mauvaises actions provoqueraient un décès), une négligence évidente des règles de base à suivre en matière de cybersécurité et une incapacité des autorités policières à appréhender l’organisation criminelle impliquée.

Les cybercriminels ont pu attaquer le réseau de l’hôpital grâce à une vulnérabilité (Shitrix) dans les serveurs Citrix Netscaler qui avait pourtant été corrigée en janvier. Il semblerait que les administrateurs système aient attendu trop longtemps avant d’installer le patch et, pendant ce temps, des personnes mal intentionnées ont pu pénétrer dans le réseau et installer une porte dérobée.

Jusque-là ce sont les faits. À partir de maintenant ce n’est qu’une hypothèse impossible à confirmer mais qui semble tout de même très probable…

En lire plus :Ransomware : on ne rigole plus

Flickr photostream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram photostream

Cyber-histoires en temps de confinement : 92 mars 2020

Cela fait maintenant près de trois mois que la plupart des pays, et leurs habitants, sont en confinement ! Vous avez certainement entendu parler d’un film en particulier pendant ce laps de temps, j’en suis certain, voire de plusieurs. Il y a pourtant une nouvelle approche : le film Un jour sans fin n’est plus aussi amusant ! Ensuite, quelle que soit la météo, cela ne nous convient pas. Un temps couvert, humide et venté : c’est déprimant pour tout le monde (en plus du confinement). Le soleil brille, il fait chaud et on se croirait en été : c’est déprimant pour tout le monde puisque personne ne peut sortir pour en profiter !

Pourtant, j’imagine qu’il est quelque peu réconfortant de se dire que nous sommes presque tous dans la même situation et ne pouvons pas quitter notre domicile. Peut-être. Cela ne s’applique qu’à nous, les personnes normales / bien intentionnées. Qu’en est-il des méchants ? Comment ont-ils  » surmonté  » cet emprisonnement à domicile ? La semaine dernière, j’ai partagé quelques statistiques et tendances à ce sujet. Aujourd’hui je souhaite poursuivre cette étude et faire une mise à jour… Eh oui, malheureusement les cyber-méchants agissent vite. // Soit dit en passant, si vous souhaitez en savoir plus sur les cyber-histoires du côté obscur, alias cyber-actualité, suivez l’étiquette de ces articles.

Tout d’abord, voici quelques statistiques supplémentaires – mises à jour. De plus, elles sont plutôt rassurantes…

En mars, mais surtout en avril, l’activité générale des cybercriminels a fortement augmenté. Pourtant, nous avons constaté une forte baisse en mai et sommes revenus aux résultats que nous avions avant le coronavirus (janvier-février) :

En lire plus :Cyber-histoires en temps de confinement : 92 mars 2020

Cyber-histoires du côté obscur – version SAS 2019.

Bonjour à tous !

Je vous présente donc le dernier article de la série des cyber-actualités que je publie de temps à autre ; je parle bien sûr des mises à jour cyber-histoires du côté obscur. Je vais donc vous parler de certaines des interventions auxquelles j’ai pu assister lors de notre rencontre annuelle Security Analyst Summit qui s’est tenue à Singapour le mois dernier.

Chaque édition du SAS se distingue par les présentations faites par les experts. Contrairement à d’autres conférences géopolitiquement correctes, ici les analystes prennent la parole pour partager leurs découvertes au sujet de n’importe quelle menace informatique, peu importe d’où elle vient, et ils le font par principe. Après tout, un malware est un malware, et les utilisateurs doivent s’en protéger quelles que soient les intentions de ceux qui le présentent. N’oubliez pas l’effet boomerang.

Si certains médias n’hésitent pas à raconter des mensonges sur nous afin de répliquer à cette position de principe, alors qu’il en soit ainsi. Ils ne s’en prennent pas seulement à nos principes puisque nous mettons en pratique ce que nous prêchons. Nous sommes en tête lorsqu’il s’agit du nombre d’opérations de cyber espionnage résolues. Nous n’envisageons pas d’adopter une attitude différente au détriment de nos utilisateurs.

Voici un résumé des recherches les plus intéressantes que certains experts ont présentées lors du SAS. Il s’agit des histoires les plus captivantes, choquantes et effrayantes qui vont vous laisser bouche-bée.

 

  1. TajMahal

L’an dernier, nous avons mentionné une attaque qui s’en était prise à une organisation diplomatique en Asie centrale. Il n’est pas surprenant de voir que les cybercriminels soient intéressés par ce genre d’institution. Les systèmes d’informations des ambassades, consulats et missions diplomatiques ont toujours intéressé d’autres états et leurs agences d’espionnage, ou n’importe quelle personne ayant de mauvaises intentions ainsi que les connaissances techniques et les moyens financiers suffisants. Oui, nous avons déjà lu un roman d’espionnage. Il y a toutefois quelque chose de nouveau : ils ont construit un vrai  » TajMahal  » pour les attaques. Il s’agit d’une plateforme APT avec un grand nombre de plug-ins utilisés pour toutes sortes de scénarios d’attaque grâce à divers outils. Nous n’avions encore jamais vu autant de plug-ins dans une plateforme APT.

La plateforme se divise en deux : Tokyo et Yokohama. La première est la porte dérobée principale, qui permet également de transmettre le programme malveillant. Yokohama a de nombreuses fonctionnalités : vol de cookies, interception de documents en attente d’impression, enregistrement des appels VoIP (y compris WhatsApp et FaceTime), captures d’écran, et bien d’autres choses. L’opération TajMahal est active depuis au moins cinq ans. Sa complexité nous laisse croire qu’elle a été conçue pour s’en prendre à plus d’une personne. Il ne nous reste plus qu’à découvrir qui sont les victimes.

Vous pouvez obtenir plus de renseignements sur cette APT géante ici.

En lire plus :Cyber-histoires du côté obscur – version SAS 2019.

Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Bonjour mes amis !

Voici mon nouvel article de la série « Uh-oh Cyber-Actualités« , celle où je vous tiens au courant de tout ce qui se passe de terriblement fragile et d’effrayant dans le monde numérique.

Depuis le dernier « Uh-oh », beaucoup d’actualités se sont accumulées et nécessitent votre attention. Oui, le flux de « Uh-oh » est passé de simples gouttes de ruisseau de montagne aux chutes du Niagara. Et ce flux ne cesse de s’accélérer…

En tant que vétéran de la cyberdéfense, je peux vous dire que par le passé, on parlait des cataclysmes à l’échelle planétaire pendant six mois. Tandis qu’aujourd’hui, le flux des messages est comme du saumon pendant la période du frai : surchargé ! Inutile de dire que les nouvelles de nos jours vont tellement vite, qu’on pourrait les comparer à des attaques par déni de service. « J’ai appris l’autre jour le piratage de Mega-Corporation X où tout a été volé, même le hamster du patron a été emporté par un drone ! »…

Qu’importe, puisque le nombre de cyber scandales a augmenté rapidement, par conséquent le nombre de scandales aussi. Auparavant, il y en avait trois ou quatre par blog. Aujourd’hui : sept !

Vous avez préparé le popcorn/le café/la bière ? C’est parti…

1) Infecter un ami et débloquer ses fichiers gratuitement.

En lire plus :Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Bref aperçu des attaques par déni de service.

C’est donc arrivé : l’abréviation « DDoS » a fait son entrée dans le lexique, à tel point que le mot attaque par déni de service n’est pas écrit dans son intégralité dans les journaux d’intérêt général. Eh bien en réalité, certains ne connaissent pas encore ce que cette abréviation signifie, mais tout le monde sait qu’une attaque par déni de service est très néfaste pour un large panel de cibles, avec quelque chose d’important qui soudainement ne fonctionne pas, avec des employés qui se tournent les pouces dès que le réseau plante, les téléphones du support technique qui n’arrêtent pas de sonner, et des clients mécontents qui se plaignent tout le temps. Qui plus est, tout le monde sait qu’une attaque par déni de service est accomplie par des cybercriminels malveillants, mystérieux et inconnus.

Les attaques par déni de service ont évolué très rapidement, on en parlera à la suite de cet article. Elles se sont développées de façon encore plus malveillante et sont devenues techniquement plus avancées, de temps en temps elles adoptent des méthodes d’attaques complétement différentes : elles s’en prennent à de toutes nouvelles cibles, et battent de nouveaux records du monde en s’imposant comme les attaques par déni de service les plus néfastes jamais connues. Le monde dans lequel les attaques DDos se sont imposées a également évolué très rapidement. Tout devient connecté, jusqu’à l’évier de la cuisine, le nombre d’appareils « intelligents » de toutes sortes connectés à Internet dépasse désormais de loin le nombre des bons vieux ordinateurs portables et de bureau.

Le résultat de ces deux évolutions fonctionnant en parallèle (les attaques par déni de service ainsi que le paysage numérique dans lequel elles demeurent) a contribué à faire la une des médias : les botnets constitués de caméras IP et les routers Wi-Fi domestiques battant des records de taille d’attaques par déni de service (Mirai), et des attaques DDos massives contre des banques russes.

Si auparavant les botnets étaient composés d’ordinateurs zombies, ils seront bientôt faits de réfrigérateurs, d’aspirateurs, de sèche-linges et de machines à café zombies.

brevity-comic

En lire plus :Bref aperçu des attaques par déni de service.

Paresse, cybersécurité et apprentissage automatique.

C’est comme ça : l’être humain est une créature paresseuse. S’il est possible de ne rien faire, on ne le fait pas. Mais d’un côté, paradoxalement, c’est une bonne chose, parce que la paresse est… le moteur du progrès ! Quoi ? Comment ? Eh bien, si un travail est considéré comme étant trop dur, interminable ou complexe pour les humains, certains hommes paresseux (mais consciencieux) donnent le boulot à une machine ! En cybersécurité, on appelle ça l’optimisation.

Analyser des millions de fichiers et de sites web malveillants tous les jours, développer des « inoculations » contre des menaces futures, améliorer sans cesse la protection proactive, et résoudre des dizaines d’autres tâches critiques, tout ceci serait tout simplement impossible sans l’utilisation de l’automatisation. L’apprentissage automatique est l’un des principaux concepts utilisés en automatisation.

L’apprentissage automatique s’applique dans la cybersécurité depuis plus d’une dizaine d’années, sans toute cette fanfare marketing

L’automatisation existe dans la cybersécurité depuis le tout début (de la cybersécurité en elle-même). Je me souviens par exemple, au début des années 2000, lorsque j’écrivais un code pour un robot afin d’analyser des échantillons de malwares entrants : le robot mettait les fichiers détectés dans le dossier correspondant de notre base de malwares grandissants en fonction de son verdict (celui du robot) à propos de ses caractéristiques (celles du fichier). Il est difficile d’imaginer (même à l’époque) que j’avais l’habitude de faire tout ça manuellement

De nos jours encore, simplement donner des instructions précises à des robots pour réaliser des tâches que vous voulez leur donner n’est pas suffisant. A la place, des instructions pour réaliser des tâches ont besoin d’être données de façon imprécise. Oui, vraiment !

Par exemple, « Trouvez les visages humains sur cette photo ». Pour cela vous ne décrivez pas la manière dont les visages sont reconnus et de quelle façon les visages humains différent de ceux des chiens. A la place, ce que vous faites est de montrer au robot plusieurs photos et d’ajouter : « Ces choses-là sont des humains , voici un visage humain, et ceux-ci sont des chiens ; à présent débrouille-toi pour le reste ! » Et ceci, en résumé, est la « liberté de créativité » nommée l’apprentissage automatique.

25ccd2f400000578-2958597-image-a-27_1424270103152

En lire plus :Paresse, cybersécurité et apprentissage automatique.

Uh-oh Cyber-Actualités : Centrales nucléaires, braquages de banque, et hackers de barrage.

Un rapide aperçu des actualités ces derniers jours et vous aurez sans doute envie d’acquérir… un compteur Geiger. Je veux dire, certaines histoires récentes sont plutôt alarmantes ces derniers temps. Ou c’est moi qui exagère ? Voyons voir…

Uh-oh Actualités. Article numéro 1 :  Prévenir l’apocalypse dès maintenant.

inews-1Photos provenant de Wikipédia

On a appris récemment que le système informatique de l’Unité B de la Centrale nucléaire de Gundremmingen dans le District de Souabe en Bavière, dans le Sud-Ouest de l’Allemagne, avait été infecté par un malware, tout juste 30 ans après la catastrophe de Tchernobyl (!). Il a néanmoins été reporté qu’il n’y avait pas de raison de s’inquiéter dans la mesure où cela ne représentait aucun danger. Tout est sous contrôle, on peut dormir sur nos deux oreilles, le niveau de danger est au plus bas.

Après avoir soupiré « ouffffff » et sué du front, vous lisez ce qui suit…

… Et vous aurez de plus amples détails sur l’incident. Il semblerait en effet que tout soit OK : le niveau de radiation, après tout, n’a pas augmenté. C’est ce qui compte, sûrement. N’est-ce pas ? Mais vous lisez plus loin encore…

Et vous découvrez que le système infecté (isolé d’Internet) se révèle être aussi celui qui contrôle le mouvement des barres de combustible nucléaire. C’est à ce moment précis que vous vous arrêtez de lire, vous vous frottez les yeux, et lisez de nouveau plus lentement…

QUOOOOI ?

En lire plus :Uh-oh Cyber-Actualités : Centrales nucléaires, braquages de banque, et hackers de barrage.

A la chasse au Phishing

Je ne sais pas vraiment pourquoi, mais d’une certaine façon, depuis la création du World Wide Web, il existe une approche stéréotypée d’Internet et de tout ce qui le concerne. Cette attitude considère le réseau comme à peine plus qu’un jouet, alors que les virus qui en font partie sont eux considérés comme un simple jeu, dans le meilleur des cas, ou juste du vandalisme, dans le pire des cas. Néanmoins, la réalité nous montre autre chose – notamment ces derniers temps.

Vous rappelez-vous Cascade et d’autres virus similaires ? Ah ! Tellement naïf et innocent si on le compare avec ce qui allait arriver… Les choses sont allées très vite en l’espace de quelques décennies, et les « mauvais garçons » ont commencé à voler des données, à implanter des Trojans sur des ordinateurs pour des réseaux zombies afin de procéder à des attaques divisées et, évidement, à commettre des vols sur des comptes bancaires. Aujourd’hui nous en sommes arrivés aux attaques contres les systèmes industriels, infrastructurels et militaires. Sacré jouet !

Nous devons laisser de côté ce stéréotype au plus vite. Les fausses impressions donnent au cybercrime une aura romantique, qui à la fois attire la jeune génération d’aspirants cybergeeks qui se convertiront en cybercriminels, lesquels ne peuvent pas se rendre compte de la gravité de leur « diversion » ou prendre conscience du nombre d’années qu’ils pourraient passer en prison.

Il y a alors un autre stéréotype : payé par le crime informatique, et dont les responsables ne sont pas arrêtés. Le romanticisme ! Oui, il est vrai que quelques années en-arrière, dans plusieurs pays, les crimes informatiques n’étaient pas normalement traités par la justice, cependant, la situation a désormais changé : les organismes en charge de faire respecter la loi ont l’expérience et les connaissances techniques nécessaires, et ont fait de grands progrès en terme cybercriminels (cyber-CSI), et ont noué de bonnes relations de travail avec les professionnels, les rendant désormais capables de résoudre les crimes de haute technologie les uns après les autres.

Nous sommes toujours prêts à aider les agences nationales et internationales qui se chargent de faire respecter la loi, quand elles nous en font la demande. Je pense que le développement d’une telle collaboration est nécessaire pour le succès de la lutte contre la cybercriminalité, car les entreprises de sécurité sont les premières à posséder les connaissances nécessaires.

Maintenant, laissez-moi vous illustrer comment cela fonctionne en Russie…