Étiquettes des archives : malware

Un tournant dans la cybersécurité : une compagnie d’assurance doit verser une indemnité de 1,4 milliards de dollars

Mesdames et messieurs, bonjour !

Plusieurs mois se sont écoulés depuis ma dernière publication de cyber-actualité, une section aussi connue comme cyber-histoires du côté obscur ! Cette section fait son grand retour et présente les moments forts de certains événements informatiques étonnants dont vous n’avez peut-être pas entendu parler dans les sources habituelles d’informations…

Dans cet article, je ne vais vous parler que d’une seule cyber-actualité, mais elle est très vaste : n’importe quel ajout lui aurait fait perdre de l’importance, ce qui n’est pas très correct lorsqu’il s’agit d’un tournant décisif…

Voici le résumé de cette cyber-actualité : après d’interminables procédures judiciaires aux États-Unis, un tribunal a donné gain de cause à la grande entreprise pharmaceutique Merck face à une compagnie d’assurance en l’obligeant à lui verser une indemnité de 1,4 milliards de dollars (!!) pour couvrir les dommages que Merck a souffert en 2017 à cause du terrible virus NotPetya (aussi connu comme ExPetr ou Petya).

Retour rapide sur ce qui s’est passé en 2017…

En juin de cette année, un ver de chiffrement vicieux, cruel et technologiquement avancé est soudainement apparu et s’est répandu comme une traînée de poudre : NotPetya. Ce programme s’en est d’abord pris à l’Ukraine où il a attaqué les victimes via un célèbre programme de comptabilité et a affecté les banques, les sites de l’État, l’aéroport de Kharkiv, les systèmes de surveillance de la centrale nucléaire de Tchernobyl (!!!) et de bien d’autres organisations. Ensuite, cette épidémie s’est propagée en Russie puis dans le monde entier. Diverses sources officielles estimaient que NotPetya était l’attaque informatique la plus destructive. Cela semble plutôt correct si on regarde combien d’entreprises ont été attaquées (et que des dizaines d’organisations ont perdu des centaines de millions de dollars), alors que les dégâts de l’économie mondiale s’élevaient à plus de 10 milliards de dollars !

Le géant pharmaceutique américain Merck est une des victimes les plus affectées par cette cyber-attaque mondiale. Ainsi, il a été dit que 15 000 de ses ordinateurs ont été bloqués en 90 secondes (!) au début de l’infection, alors que son centre de sauvegarde des données (qui était connecté au réseau principal) a été perdu presque instantanément. À la fin de l’attaque, Merck avait perdu 30 000 postes de travail et 7 500 serveurs.

L’entreprise a passé les mois suivants à nettoyer les dégâts causés par l’attaque, ce qui lui a coûté 1,4 milliards de dollars. Merck a même dû emprunter des vaccins de sources externes pour la modique somme de 250 millions de dollars à cause des interruptions dont ses processus de fabrication ont souffert.

Toutes ces informations sont suffisantes pour comprendre le contexte. Entrons dans le vif du sujet…

En lire plus :Un tournant dans la cybersécurité : une compagnie d’assurance doit verser une indemnité de 1,4 milliards de dollars

Payer ou ne pas payer ? Telle est la question

Parfois, en lisant un article sur les étapes à suivre si on est victime d’une attaque de ransomware, je rencontre des mots tels que : « Vous devriez envisager de payer ». Je soupire, gonfle les joues, expire et ferme l’onglet de navigation. Pourquoi ? Parce que vous ne devez jamais céder face à ces extorqueurs ! Et pas seulement parce que cela voudrait dire que vous soutenez leurs activités criminelles. Les raisons ne manquent pas. Laissez-moi vous expliquer pourquoi.

Premièrement, vous parrainez le développement des logiciels malveillants

En lire plus :Payer ou ne pas payer ? Telle est la question

Ransomware : on ne rigole plus

Pour commencer, petit retour en arrière…

Le 10 septembre, le ransomware-malware DoppelPaymer a chiffré 30 serveurs d’un hôpital de la ville allemande de Düsseldorf, suite à quoi le débit de patients malades s’est effondré. Il y a une semaine, à cause de cette baisse, l’hôpital n’a pas pu accepter une patiente qui devait être opérée en urgence et l’a redirigée vers l’hôpital de la ville voisine. Elle est décédée pendant le trajet. Il s’agit du premier décès directement lié à l’attaque d’un ransomware.

Cette histoire est très triste, surtout lorsque l’on y regarde de plus près : il y a eu  » l’accident  » fatal (en supposant que les cybercriminels n’avaient pas prévu que leurs mauvaises actions provoqueraient un décès), une négligence évidente des règles de base à suivre en matière de cybersécurité et une incapacité des autorités policières à appréhender l’organisation criminelle impliquée.

Les cybercriminels ont pu attaquer le réseau de l’hôpital grâce à une vulnérabilité (Shitrix) dans les serveurs Citrix Netscaler qui avait pourtant été corrigée en janvier. Il semblerait que les administrateurs système aient attendu trop longtemps avant d’installer le patch et, pendant ce temps, des personnes mal intentionnées ont pu pénétrer dans le réseau et installer une porte dérobée.

Jusque-là ce sont les faits. À partir de maintenant ce n’est qu’une hypothèse impossible à confirmer mais qui semble tout de même très probable…

En lire plus :Ransomware : on ne rigole plus

Jouer à cache-cache avec des malwares sans fichiers

Le code malveillant s’infiltre partout…

C’est un peu comme un gaz, qui remplit toujours l’espace dans lequel il se trouve : il passera toujours par les  » trous  » (vulnérabilités) d’un système informatique. Notre travail (enfin, l’une de nos tâches) consiste donc à trouver ces trous et à les boucher. Notre objectif est de faire cela de manière proactive ; c’est-à-dire, avant que le malware ne les retrouve. Et s’il en détecte, nous sommes là, prêts à le repousser.

En fait, c’est la protection proactive et la capacité à prévoir les actions des attaquants et à créer une barrière à l’avance qui distinguent une cybersécurité de haute technologie vraiment excellente du simple marketing.

Aujourd’hui, je voudrais vous parler d’une autre façon dont notre action proactive protège contre un autre type de malware, particulièrement rusé. Oui, je veux vous parler de ce qu’on appelle le code malveillant sans fichier (et donc sans  » corps « ) : une dangereuse race de malwares fantômes qui ont appris à utiliser les inconvénients architecturaux de Windows pour infecter les ordinateurs. Et aussi de notre technologie brevetée qui lutte contre cette cyber-maladie bien particulière. Et je le ferai comme vous l’aimez : des choses complexes expliquées simplement, de manière légère et captivante comme dans un cyber-thriller avec des éléments de suspense ;).

Tout d’abord, que veut dire sans fichier ?

Eh bien, le code sans fichier, une fois introduit dans un système informatique, ne crée pas de copies de lui-même sous forme de fichiers sur le disque, évitant ainsi la détection par les méthodes traditionnelles, par exemple avec un moniteur antivirus.

Alors, comment un tel  » malware fantôme  » existe-t-il à l’intérieur d’un système ? Eh bien, il réside dans la mémoire de processus fiable ! Eh oui ! Beurk !

Dans Windows (et pas seulement dans Windows, en fait), il y a toujours eu la possibilité d’exécuter du code dynamique, notamment utilisé pour la Compilation juste à temps. Cela consiste en la transformation d’un code de programme en code machine non pas immédiatement, mais au fur et à mesure des besoins. Cette approche améliore la vitesse d’exécution de certaines applications. Et pour prendre en charge cette fonctionnalité, Windows permet aux applications de placer du code dans la mémoire de processus (ou même dans une autre mémoire de processus fiable) et de l’exécuter.

Ce n’est pas vraiment une bonne idée du point de vue de la sécurité, mais bon… C’est comme ça que des millions d’applications écrites dans Java, .NET, PHP, Python et autres langages et pour d’autres plateformes fonctionnent depuis des décennies.

Comme on pouvait s’y attendre, les criminels du web ont profité de la possibilité d’utiliser du code dynamique, en inventant diverses méthodes pour en abuser. Et l’une des méthodes les plus pratiques et donc les plus répandues qu’ils utilisent est ce qu’on appelle l’injection de PE par réflexion. La quoi ? Laissez-moi expliquer (c’est plutôt intéressant, restez avec moi !)

Lancer une demande en cliquant sur son icône est assez simple et direct, non ? En fait, cela semble simple, mais sous le capot, il y a toutes sortes de choses qui se passent : un chargeur système est appelé, qui prend le fichier respectif sur le disque, le charge dans la mémoire et l’exécute. Et ce processus standard est contrôlé par des moniteurs antivirus, qui vérifient la sécurité de l’application à la volée.

Lorsqu’il y a une  » réflexion « , cependant, le code est chargé en contournant le chargeur du système (et donc en contournant également le moniteur antivirus). Le code est placé directement dans la mémoire d’un processus fiable, créant ainsi une  » réflexion  » du module exécutable original. Cette réflexion peut être exécutée comme un véritable module chargé par une méthode standard, mais elle n’est pas enregistrée dans la liste des modules et, comme mentionné ci-dessus, elle n’a pas de fichier sur le disque.
 
De plus, contrairement aux autres techniques d’injection de code (par exemple, via le shellcode), l’injection par réflexion permet de créer du code fonctionnellement avancé dans des langages de programmation de haut niveau et des cadres de développement standard, sans aucune limitation ou presque. Le résultat : (i) pas de fichiers, (ii) une dissimulation derrière un processus fiable, (iii) l’invisibilité face aux technologies de protection traditionnelles, et (iv) le champ libre pour faire des ravages.

Alors, bien entendu les injections par réflexion ont eu un succès fou auprès des développeurs de code malveillant : Ils sont d’abord apparus dans des packs d’exploitation. Ensuite, des cyber-espions ont fait leur apparition (par exemple, Lazarus etTurla), puis des cybercriminels avancés (comme c’est une façon utile et légitime d’exécuter un code complexe !), puis de petits cybercriminels.

Maintenant, du côté des antivirus, trouver une telle infection sans fichier, c’est comme chercher une aiguille dans une cyber-botte de foin. Pas étonnant que la plupart des marques de cybersécurité ne s’en sortent pas trop bien. Certaines touchent à peine à ce type de problèmes.

En lire plus :Jouer à cache-cache avec des malwares sans fichiers

Cyber-histoires en temps de confinement : 92 mars 2020

Cela fait maintenant près de trois mois que la plupart des pays, et leurs habitants, sont en confinement ! Vous avez certainement entendu parler d’un film en particulier pendant ce laps de temps, j’en suis certain, voire de plusieurs. Il y a pourtant une nouvelle approche : le film Un jour sans fin n’est plus aussi amusant ! Ensuite, quelle que soit la météo, cela ne nous convient pas. Un temps couvert, humide et venté : c’est déprimant pour tout le monde (en plus du confinement). Le soleil brille, il fait chaud et on se croirait en été : c’est déprimant pour tout le monde puisque personne ne peut sortir pour en profiter !

Pourtant, j’imagine qu’il est quelque peu réconfortant de se dire que nous sommes presque tous dans la même situation et ne pouvons pas quitter notre domicile. Peut-être. Cela ne s’applique qu’à nous, les personnes normales / bien intentionnées. Qu’en est-il des méchants ? Comment ont-ils  » surmonté  » cet emprisonnement à domicile ? La semaine dernière, j’ai partagé quelques statistiques et tendances à ce sujet. Aujourd’hui je souhaite poursuivre cette étude et faire une mise à jour… Eh oui, malheureusement les cyber-méchants agissent vite. // Soit dit en passant, si vous souhaitez en savoir plus sur les cyber-histoires du côté obscur, alias cyber-actualité, suivez l’étiquette de ces articles.

Tout d’abord, voici quelques statistiques supplémentaires – mises à jour. De plus, elles sont plutôt rassurantes…

En mars, mais surtout en avril, l’activité générale des cybercriminels a fortement augmenté. Pourtant, nous avons constaté une forte baisse en mai et sommes revenus aux résultats que nous avions avant le coronavirus (janvier-février) :

En lire plus :Cyber-histoires en temps de confinement : 92 mars 2020

Cyber-pouls du monde pendant la pandémie.

En ces temps difficiles, on me demande souvent comment la situation cyber-épidémiologique a évolué. En termes plus généraux, comment la cybersécurité a-t-elle été affectée par ce déplacement de masse vers le télétravail (ou le chômage, malheureusement, pour ceux qui n’ont pas eu de chance mais restent tout de même chez eux) ? Plus particulièrement, quelles nouvelles astuces les cybercriminels ont-ils développées ? Qu’est-ce que les utilisateurs doivent faire pour s’en protéger ?

Je vous propose donc de vous faire un résumé…

Comme toujours, les criminels, et donc les cybercriminels, suivent de près les conditions changeantes et s’adaptent pour augmenter leurs revenus. Par conséquent, lorsque presque tout le monde passe soudainement à un temps plein à domicile (télétravail, divertissement à domicile, achats à domicile, interactions sociales à distance, tout à domicile !), les cybercriminels modifient leurs méthodes.

Les escrocs ont remarqué une chose : maintenant que presque tout le monde est en quarantaine, le temps passé sur Internet a considérablement augmenté. Cela signifie qu’ils disposent d’une « surface d’attaque » générale plus importante pour leurs actes criminels.

En outre, les employeurs de la plupart des personnes qui travaillent désormais depuis chez elles ne leur ont malheureusement pas fourni une protection informatique de qualité et fiable. Cela signifie que de nouvelles opportunités s’offrent aux cybercriminels puisqu’ils pourraient notamment pirater le réseau professionnel que les employés utilisent et obtenir de précieux renseignements criminels.

Il est évident que les cybercriminels cherchent à mettre la main sur ces précieux renseignements. Nous le constatons avec la forte augmentation des attaques par force brute des serveurs de bases de données et des RDP (une technologie qui permet à un employé, par exemple, d’avoir pleinement accès à son ordinateur professionnel, ses fichiers, son bureau, absolument tout, à distance, et donc depuis chez lui).

En lire plus :Cyber-pouls du monde pendant la pandémie.

Cyber-actualités : Si Aramco avait utilisé notre technologie Antidrone… ; honeypots pour arrêter les malwares qui s’en prennent à l’IoT !

Bonjour les amis !

Nous avons récemment entendu une Cyber-histoire du côté obscur qui était plus que surprenante. Vous en avez certainement entendu parler puisqu’elle a fait la une des journaux du monde entier. Il s’agit de l’attaque de drones sur Aramco, en Arabie Saoudite, qui a empêché la production de millions de barils de pétrole par jour et a engendré des dégâts qui s’élèvent à plusieurs centaines de millions de dollars.

Malheureusement, je crains que ce ne soit que le début. Vous vous souvenez de ces drones qui ont bloqué l’aéroport de Heathrow (ou bien de Gatwick) il y a quelque temps ? Les choses suivent leurs cours. Il y en aura d’autres, c’est indéniable. Les houthis ont revendiqué l’attaque mais l’Arabie Saoudite et les États-Unis accusent l’Iran. L’Iran nie toute responsabilité. En d’autres termes, toujours le même bras de fer au Moyen-Orient. Ce n’est pas le sujet de notre article puisque nous ne parlons pas de géopolitique, vous aviez oublié ? Non, moi tout ce que je veux dire c’est que pendant que certains continuent à se montrer du doigt nous avons mis au point une solution qui arrête les attaques de drones, comme celle d’Aramco. Mesdames et messieurs, j’ai l’honneur de vous présenter… notre nouvelle technologie Antidrone !

Comment fonctionne-t-elle ?

Le dispositif calcule les coordonnées de l’objet en mouvement et le réseau neuronal détermine s’il s’agit d’un drone. Si la présence d’un drone est confirmée, alors il bloque la connexion entre l’appareil et la télécommande. Par conséquent, le drone retourne à sa base ou atterrit là où il se trouve lorsqu’il est intercepté dans le ciel. Ce système est fixe ou mobile et peut, par exemple, être installé sur un véhicule mobile.

Notre technologie Antidrone cherche avant tout à protéger les infrastructures particulièrement importantes, les aéroports, les objets industriels et bien d’autres propriétés. L’incident qui a eu lieu à Aramco montre que cette technologie est plus que nécessaire et urgente pour éviter d’autres situations similaires. De plus, les choses ne vont pas se calmer : en 2018, le marché mondial des drones représentait 14 milliards de dollars et les prévisions disent qu’il pourrait s’élever à 43 milliards de dollars en 2024 !

Il est évident que le marché de la protection contre les drones malveillants va également se développer, et que cette croissance sera rapide. Pour le moment, notre technologie Antidrone est la seule du marché russe à pouvoir détecter ces objets grâce à la vidéo et à un réseau neuronal, et est la première dans le monde à utiliser un balayage laser pour localiser les drones.

En lire plus :Cyber-actualités : Si Aramco avait utilisé notre technologie Antidrone… ; honeypots pour arrêter les malwares qui s’en prennent à l’IoT !

Si j’avais reçu un dollar chaque fois que l’on m’a posé cette question au cours de ces 30 dernières années…

Bonjour les amis !

Savez-vous quelle est la question que l’on me pose le plus souvent lorsque je donne une interview ou une conférence de presse ?

La première fois qu’elle m’a été posée, c’était dans les années 90. Rapidement, elle est devenue la question redoutée qui m’a toujours donné envie de lever les yeux au ciel, tentation à laquelle j’ai résisté :). Après quelques années, j’ai décidé d’accepter le caractère inévitable de cette question et j’ai commencé à improviser et à ajouter des détails à mes réponses. Aujourd’hui encore, bien que mes réponses aient été publiées et diffusées à maintes reprises dans tous les médias à travers le monde, on me la pose encore et encore, inlassablement. Dernièrement, toutefois, c’est comme si la boucle était bouclée : lorsque l’on me pose cette question, j’aime me rappeler ces jours-ci !

En suis-je venu à bout ?

La question est : « Quel est le premier virus que vous avez découvert ? » et toutes les questions en rapport avec ce sujet, comme par exemple quand l’ai-je détecté, comment ai-je nettoyé l’ordinateur qui avait été infecté, etc.

Il s’agit d’une question très importante puisque si ce virus n’avait pas infecté mon ordinateur à cette époque, je n’aurais peut-être pas changé radicalement de carrière ; je n’aurais peut-être pas créé le meilleur antivirus au monde ; je n’aurais peut-être pas fondé une des plus grandes entreprises privées de cybersécurité et plus encore. Il est donc évident que ce virus a joué un rôle fatidique et a été un des premiers signes avant-coureurs  de ce qui allait suivre : des milliards de « descendants » puis, plus tard, la cybercriminalité, la guerre cybernétique, le cyber-espionnage ainsi que tous les cybercriminels du monde entier qui se cachent derrière tout cela.

Enfin… vous voulez peut-être savoir quelle est la réponse, non ?

Ce virus s’appelait Cascade.

Mais pourquoi toute cette nostalgie autour de ce virus tout à coup ? En lire plus :Si j’avais reçu un dollar chaque fois que l’on m’a posé cette question au cours de ces 30 dernières années…

Cyber-histoires du côté obscur : hypocrisie informatique, œil pour Mirai et dent pour dent, le GCHQ vous surveille et éloignez-vous de BlueKeep.

Bonjour les amis !

Commençons par les bonnes nouvelles…

« La plus testée, la plus récompensée » encore une fois.

AV-Comparatives, laboratoire reconnu de tests indépendants, a récemment publié les résultats de son étude annuelle. L’entreprise a interrogé plus de 3000 personnes dans le monde entier vers fin 2018. Une des 19 questions était la suivante : Quelle solution de sécurité anti-malware utilisez-vous principalement sur votre ordinateur de bureau ? Devinez quelle marque figure parmi les premières en Europe, Asie et Amérique du Sud/Centrale ? Oui : K ! Nous occupons la seconde place en Amérique du Nord mais je suis convaincu que cette situation n’est que temporaire. De plus, nous avons été choisis en Europe comme la solution de sécurité la plus souvent installée sur les smartphones. Nous occupons aussi la première place de la liste des entreprises que les utilisateurs demandent le plus souvent d’essayer, tant au niveau personnel que professionnel. Génial ! Nous adorons passer des tests et vous savez pourquoi ! D’ailleurs vous pouvez obtenir plus de renseignements sur les tests indépendants et les commentaires qui parlent de nos produits.

« Hypocrite, ôte premièrement la poutre de ton œil, et alors tu verras comment ôter la paille de l’œil de ton frère. » Matthieu 7:5.

En mai, nous avons à nouveau découvert une porte dérobée qui offre des caractéristiques très utiles pour faire de l’espionnage. Quels dispositifs technologiques sont affectés par cette porte dérobée ? Les russes ? Les chinois ? En réalité, il s’agit (à nouveau) de Cisco. Y-a-t ‘il eu une tempête médiatique ? Cette histoire a-t-elle fait la une pendant des semaines ? De nombreux articles sur les menaces en matière de sécurité nationale ont-ils été publiés ? A-t-il été question d’interdire les appareils de Cisco en dehors des États-Unis ? Quoi ? Vous n’en avez pas entendu parler ? Pourtant tout cela a eu lieu pendant que Huawei se faisait lyncher internationalement alors qu’il n’y avait pas de porte dérobée ni de preuve irréfutable.

source

En lire plus :Cyber-histoires du côté obscur : hypocrisie informatique, œil pour Mirai et dent pour dent, le GCHQ vous surveille et éloignez-vous de BlueKeep.

Cyber-histoires du côté obscur – version SAS 2019.

Bonjour à tous !

Je vous présente donc le dernier article de la série des cyber-actualités que je publie de temps à autre ; je parle bien sûr des mises à jour cyber-histoires du côté obscur. Je vais donc vous parler de certaines des interventions auxquelles j’ai pu assister lors de notre rencontre annuelle Security Analyst Summit qui s’est tenue à Singapour le mois dernier.

Chaque édition du SAS se distingue par les présentations faites par les experts. Contrairement à d’autres conférences géopolitiquement correctes, ici les analystes prennent la parole pour partager leurs découvertes au sujet de n’importe quelle menace informatique, peu importe d’où elle vient, et ils le font par principe. Après tout, un malware est un malware, et les utilisateurs doivent s’en protéger quelles que soient les intentions de ceux qui le présentent. N’oubliez pas l’effet boomerang.

Si certains médias n’hésitent pas à raconter des mensonges sur nous afin de répliquer à cette position de principe, alors qu’il en soit ainsi. Ils ne s’en prennent pas seulement à nos principes puisque nous mettons en pratique ce que nous prêchons. Nous sommes en tête lorsqu’il s’agit du nombre d’opérations de cyber espionnage résolues. Nous n’envisageons pas d’adopter une attitude différente au détriment de nos utilisateurs.

Voici un résumé des recherches les plus intéressantes que certains experts ont présentées lors du SAS. Il s’agit des histoires les plus captivantes, choquantes et effrayantes qui vont vous laisser bouche-bée.

 

  1. TajMahal

L’an dernier, nous avons mentionné une attaque qui s’en était prise à une organisation diplomatique en Asie centrale. Il n’est pas surprenant de voir que les cybercriminels soient intéressés par ce genre d’institution. Les systèmes d’informations des ambassades, consulats et missions diplomatiques ont toujours intéressé d’autres états et leurs agences d’espionnage, ou n’importe quelle personne ayant de mauvaises intentions ainsi que les connaissances techniques et les moyens financiers suffisants. Oui, nous avons déjà lu un roman d’espionnage. Il y a toutefois quelque chose de nouveau : ils ont construit un vrai  » TajMahal  » pour les attaques. Il s’agit d’une plateforme APT avec un grand nombre de plug-ins utilisés pour toutes sortes de scénarios d’attaque grâce à divers outils. Nous n’avions encore jamais vu autant de plug-ins dans une plateforme APT.

La plateforme se divise en deux : Tokyo et Yokohama. La première est la porte dérobée principale, qui permet également de transmettre le programme malveillant. Yokohama a de nombreuses fonctionnalités : vol de cookies, interception de documents en attente d’impression, enregistrement des appels VoIP (y compris WhatsApp et FaceTime), captures d’écran, et bien d’autres choses. L’opération TajMahal est active depuis au moins cinq ans. Sa complexité nous laisse croire qu’elle a été conçue pour s’en prendre à plus d’une personne. Il ne nous reste plus qu’à découvrir qui sont les victimes.

Vous pouvez obtenir plus de renseignements sur cette APT géante ici.

En lire plus :Cyber-histoires du côté obscur – version SAS 2019.