Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes

La page est créée Pascale Descamps
 
CONTINUER À LIRE
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Cybercrime : tactiques et techniques
3e trimestre 2017
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
TABLE DES MATIÈRES

01 Introduction                               21 Arnaques au faux support technique
                                              22 La FTC rembourse les victimes
02 Résumé
                                              23   Piratages
03   Malwares MS Windows                      24   Equifax
03   GlobeImposter                            25   Informations d'identification personnelle
05   Locky                                    26   Violations de données
06   Trickbot
08   Emotet                                   27 Interpellations et condamnations
                                              27  MalwareTech
09 Malwares Mac                               27 Piratage de Game of Thrones
                                              27 Violation des données de l'Office of
10 Malwares Android                              Personnel Management
                                              28 Crackas with Attitude
11 Spams malveillants                         28 Malware Fireball

13 Kits d'exploit                             29 Entretien avec une chercheuse
14 Astrum via AdGholas                        29 Mieke Verburgh
15 Nouveaux kits d'exploit
16 Expérimentations avec les                 31 L'essentiel à retenir
   kits d'exploit actuels
17 Kits d'exploit et ransomwares              32 Prévisions essentielles

18 Programmes potentiellement indésirables   33 Conclusion
18 SmartScreen
20 Des nouvelles d'Adware.Elex                33 Contributeurs
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Introduction
Alors que l'été s'achève et que la nature revêt ses couleurs     Dans cette édition du rapport Cybercrime : tactiques et
d'automne, il est l'heure d'une nouvelle édition du rapport      techniques, nous couvrons les dernières actualités en
Malwarebytes Cybercrime : tactiques et techniques.               matière de malwares et autres menaces, avec notamment
                                                                 l'opération de malvertising la plus sophistiquée jamais vue, et
Le troisième trimestre 2017 a été marqué par un                  nous expliquons pourquoi les spams sont l'un des vecteurs
certain nombre d'événements qui ont été accueillis par           préférés des cybercriminels pour propager de dangereuses
l'incrédulité et l'incompréhension. Du piratage des données      familles de ransomwares telles que Locky et GlobeImposter.
confidentielles de 143 millions de clients de l'un des plus      Nous offrons aussi quelques informations intéressantes pour
grands experts au monde en matière de sécurité et de lutte       les utilisateurs de Mac et présentons en détail un nouveau
contre la fraude à l'interpellation d'un chercheur en sécurité   cheval de Troie qui cible les smartphones sous Android avant
considéré comme un héros pour avoir aidé à mettre fin            de finir par un entretien avec Mieke Verbugh, l'une de nos
à la plus grande attaque de ransomware jamais menée,             chercheuses de longue date.
ce trimestre ne nous a rien épargné.
                                                                 Préparez-vous à plonger dans ce rapport comme dans
                                                                 un tas de feuilles d'automne !

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017    1
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Résumé

Ce trimestre encore, les ransomwares ne montrent aucun      à désirer. Bien que les attaques contre les organisations
signe d'essoufflement. La famille de ransomwares Cerber     commerçantes soient en déclin, le nombre de fichiers
continue de dominer dans sa catégorie, mais le retour       clients compromis reste similaire aux trimestres
de Locky va mettre à mal sa domination dans les mois        précédents. Le nombre de piratages de systèmes
à venir. Quoi qu'il en soit, le recours aux spams comme     propriétaires reste élevé, mais les autorités poursuivent
moteur de distribution des nouveaux échantillons reste      leurs efforts pour combattre ces attaques.
une constante pour les deux familles de malwares.
                                                            Ce trimestre a également été marqué par des
Si les spams sont le catalyseur de la livraison par         interpellations en lien avec plusieurs incidents très
e-mail de nouveaux échantillons de malwares                 médiatisés, notamment celle des individus responsables
à des destinataires qui ne se doutent de rien, les          des attaques contre l'agence fédérale américaine
cybercriminels continuent parallèlement de recourir         de la fonction publique, HBO et le directeur de la CIA
aux kits d'exploit pour installer diverses variantes de     John Brennan, ainsi que les individus qui pourraient
ransomwares sur des machines vulnérables.                   être les auteurs des familles de malwares Fireball et
                                                            Kronos. Par ailleurs, la FTC (Federal Trade Commission,
Dans la deuxième moitié du trimestre, le kit d'exploit      commission fédérale du commerce aux États-Unis)
populaire RIG a commencé à livrer les familles de           a annoncé la mise en place d'un fonds de 10 millions USD
ransomwares PrincessLocker et GlobeImposter.                pour le remboursement des victimes d'Advanced Tech
Assurant la concurrence sur un segment autrement            Support, l'une des arnaques au faux support technique
peu compétitif, le kit d'exploit Disdain a fait son         la plus lucrative à ce jour.
apparition au début du mois d'août.
                                                            Les évolutions des tactiques et techniques employées
Fort heureusement, nos prévisions concernant                par les cybercriminels nous étonneront toujours
l'apparition de nouveaux kits d'exploit similaires          et les événements de ce trimestre montrent que
à celui créé par la NSA ne se sont pas réalisées pour       rien n'arrête des pirates déterminés à obtenir des
l'instant. Les kits d'exploit doivent donc tirer parti de   informations précieuses. L'augmentation des attaques
vulnérabilités obsolètes et cibler des ordinateurs qui      contre les entreprises est terrifiante du fait du volume
ne sont pas à jour pour que l'exploitation réussisse.       incommensurable de données que celles-ci détiennent
Heureusement pour les cybercriminels, il existe encore      concernant leurs clients. Les entreprises comme les
beaucoup de machines dans ce cas.                           individus doivent rester vigilants dans leurs efforts pour
                                                            combattre les accès non autorisés. Dans ce combat, nous
Du côté des piratages, celui des informations               devons tous adopter une attitude proactive en installant
confidentielles d'environ 143 millions de clients           les mises à jour au plus tôt sur les systèmes critiques et
d'Equifax a dominé l'actualité. Réponse inadéquate,         en respectant à la lettre les normes de sécurité.
faux sites Web... La gestion de cet incident par l'un
des plus grands experts au monde en matière de
sécurité et de lutte contre la fraude laisse beaucoup

                                                                Cybercrime : tactiques et techniques 3e trimestre 2017   2
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Malwares MS Windows

Le segment des malwares MS Windows a connu de                Malgré tout, nous observons toujours un très grand nombre
grands bouleversements ce trimestre. Les ransomwares         de ransomwares agissant au vu et au su de tous, ainsi que
ont envahi le marché de manière transparente pour la         des mineurs de cryptomonnaies et des spywares.
plupart. Cependant, ce trimestre, les principaux canaux
de distribution des malwares (kits d'exploit et spams        Aujourd'hui, nous nous penchons sur quelques-unes des
malveillants) ont commencé à propager des malwares           nouvelles familles de malwares et faisons un point sur les
qui avaient été obscurcis afin de les cacher des solutions   familles qui ne veulent décidément pas disparaître.
de sécurité.

GlobeImposter

GlobeImposter tire son nom d'un précédent ransomware du      Les victimes qui ouvrent ces documents MS Office ou
nom de ransomware Globe, car il utilise le même langage et   scripts Microsoft spécifiques sont infectées par le fichier
le même format que la famille de ransomwares Globe.          binaire du ransomware. Le fichier binaire est récupéré sur
                                                             un serveur distant par l'intermédiaire du fichier appât en
GlobeImposer a subi plusieurs modifications ces derniers     pièce jointe.
mois et il est surtout distribué via des spams. Dans le
cadre de la campagne de spams Blank Slate, des e-mails
sont reçus sans objet ni texte, mais avec un fichier
malveillant en pièce jointe.

        Figure 1. Écran de chiffrement GlobeImposter

                                                                Cybercrime : tactiques et techniques 3e trimestre 2017   3
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Lors d'une campagne récente, nous avons pu observer
des e-mails contenant à la fois une pièce jointe et une URL
malveillante attachées à différentes variantes de GlobeImposter :

Figure 2. E-mail malspam de l'attaque GlobeImposter

Remarquez la faute de frappe « TOP » au lieu de « Tor »,
qui devrait être intégralement en minuscule.

Enfin, il convient de noter que certaines campagnes de
spams ont diffusé Locky à la place de GlobeImposter, les
deux ayant un modus operandi similaire.

Figure 3. Page de décryptage de GlobeImposter

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017   4
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Locky

Si vous lisez le blog Malwarebytes Labs et nos rapports
Cybercrime : tactiques et techniques, vous êtes sûrement
lassés d'entendre parler de Locky. En tout cas, c'est
notre cas !

Petit rappel : ce ransomware est connu pour ses campagnes
de grande envergure avec distributions quotidiennes de
sa charge utile. Locky n'est pas l'œuvre de débutants.
Beaucoup de temps et d'argent ont été investis dans le
botnet de spams qui utilise des serveurs Web compromis
pour héberger les charges utiles malveillantes de Locky.

                                                                Figure 4. Historique des extensions de Locky
En mai de cette année, Locky avait disparu. À sa place,
le ransomware Jaff était diffusé par Necurs, le plus
important botnet de diffusion de spams malveillants             Locky est un ransomware persistant aux longues
(malspams) à l'heure actuelle. Jaff était distribué dans des    périodes d'inactivité. Sans faire de prévision sur cette
e-mails contenant une pièce jointe zippée qui, une fois         famille pour le dernier trimestre, nous tenons à rappeler
ouverte, exécutait un script pour télécharger et exécuter       à nos lecteurs de faire attention lorsqu'ils ouvrent des
le ransomware.                                                  pièces jointes et de toujours garder leurs solutions de
                                                                sécurité à jour et prêtes à faire face à ce type d'attaque.
Juin a marqué le retour de Locky après la publication
d'un décrypteur gratuit pour le ransomware Jaff. Locky
utilisait l'extension .loptr et était distribué de la même
manière que Jaff. En août, Locky a encore une fois changé
d'extension. Cette fois, il utilisait l'extension .diablo6 et
l'e-mail d'attaque incluait un fichier .vbs zippé en pièce
jointe. Peu après, Locky a de nouveau pris une nouvelle
extension : .lukitus.

Enfin, en septembre, de nouvelles variantes de Locky ont
été détectées, portant cette fois la dernière extension :
.ykcol. Les créateurs de Locky doivent être à court d'idées
de nom d'extension, puisque .ykcol est simplement
l'anagramme de Locky.

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017    5
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Trickbot

Malware de vol d'identifiants, Trickbot a été observé en         Vol de données étendu
circulation pour la première fois l'année dernière. Les
analyses effectuées par l'équipe de Malwarebytes Labs et         L'une des fonctionnalités de la nouvelle version de
par d'autres chercheurs en sécurité notables ont permis          TrickBot est sa capacité à voler des données, notamment
de déterminer que TrickBot est le nouveau projet de              les identifiants Microsoft Outlook enregistrés. Il récupère
l'équipe responsable de Dyreza, un autre malware de vol          aussi les cookies et l'historique du navigateur, sûrement
de données populaire. D'après les analyses, ce malware           pour voler autant d'identifiants valides que possible.
techniquement moins sophistiqué que d'autres familles
présentait cependant un grand danger potentiel.                  Fait rare et intéressant observé pendant l'analyse, cet
                                                                 échantillon compte un très grand nombre de chaînes de
En juillet de cette année, une nouvelle version de TrickBot      débogage pour chaque action entreprise par le malware.
apparaissait dans des exploits d'actions intempestives           Il peut y avoir deux raisons à cela : soit ce code a été volé
et des campagnes de spams malveillants. Dans les                 dans un logiciel légitime et incorporé au malware, soit
attaques d'actions intempestives, c'était le kit d'exploit       cette version n'était pas censée être mise en circulation,
RIG qui distribuait ce malware. Dans les campagnes de            car toujours en cours de développement.
malspams, le malware était livré dans un e-mail de fraude
bancaire par hameçonnage typique : l'utilisateur clique
sur un lien ou ouvre une pièce jointe pensant que l'e-mail
a été envoyé par une institution bancaire légitime.

        Figure 5. Fonctionnalité de vol de données de TrickBot

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017    6
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Nouveau mode d'infection                                     Importance de cette nouvelle fonctionnalité

TrickBot présente d'autres fonctionnalités, notamment        En quoi le recours au mode « ver » par TrickBot est-il
l'énumération du réseau des victimes, la recherche           pertinent ? L'utilisation des exploits SMB, le vol d'identifiants
de ports SMB (Server Message Block) vulnérables, le          et le déplacement latéral sont des fonctionnalités rappelant
vol d'identifiants de connexion et la propagation sur        les familles de ransomwares WannaCry et NotPetya
un réseau, tout en étant capable de s'installer sur des      observées plus tôt dans l'année.
systèmes interconnectés à l'aide d'un script PowerShell.
                                                             Il ne s'agit pas d'attribuer la paternité de ce malware, mais
C'est ainsi que TrickBot devient TrickWorm !                 de noter une fois de plus une tendance courante dans la
Cette fonctionnalité a été découverte par                    communauté de la cybersécurité : les cybercriminels font
FlashPoint et Deloitte.                                      des émules. Dès qu'un mode d'attaque semble connaître
                                                             un certain succès, les criminels l'adoptent en masse en
La bonne nouvelle ? D'après les analyses, cette              le copiant directement ou en adaptant leurs attaques en
fonctionnalité n'est pas opérationnelle sur les              conséquence. Nous avons déjà observé cela avec les kits
versions observées en circulation. Néanmoins, le code        d'exploit et les ransomwares, et nous l'observerons sans
d'activation de cette fonctionnalité « ver » étant inclus    doute encore.
dans le fichier binaire, son utilisation par les créateurs
de TrickBot n'est qu'une question de temps.

                                                                 Cybercrime : tactiques et techniques 3e trimestre 2017     7
Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
Emotet

Ces derniers mois, Malwarebytes Labs a observé                  Passé l'infection initiale, le malware Emotet transforme
plusieurs campagnes de spams actives livrant le malware         chaque machine infectée en un bot qui sert ensuite
Emotet via des fichiers .doc malveillants contenant des         à cibler et infecter de nouvelles victimes.
macros obscurcies.
                                                                Depuis sa création, Emotet a sans cesse évolué pour devenir
Emotet est un cheval de Troie bancaire détecté pour             un cheval de Troie modulaire qui met en œuvre diverses
la première fois par Trend Micro en 2014. Le malware,           techniques pour assurer son évasion, sa persistance et sa
qui intercepte le trafic réseau pour voler les données          diffusion. Il télécharge également d'autres malwares tels
bancaires, est encore développé activement, y compris           que Dridex ou TrickBot pour collecter des coordonnées
plusieurs modules aux fonctions différentes.                    bancaires et d'autres identifiants.

Pour infecter un utilisateur, quatre interactions doivent       Cette méthode d'ingénierie sociale via des spams
avoir lieu avec celui-ci :                                      malveillants est devenue monnaie courante cette année
                                                                en témoignent l'essor de la distribution des malwares
• L'e-mail est reçu.
                                                                via les malspams et le déclin des infections via les kits
• Le document MS Word en pièce jointe est ouvert.
                                                                d'exploit. Sans nul doute, les diverses familles de malwares
• La macro est activée pour permettre l'activité
                                                                continueront d'avoir recours à cette méthode de distribution
   malveillante via PowerShell.
                                                                et aux tactiques associées au dernier trimestre.
• Le cheval de Troie Emotet est installé sur la machine
   de la victime.

Figure 6. Chaîne d'attaque d'Emotet

Le document MS Word utilise une tactique bien connue de
l'ingénierie sociale pour faire en sorte que les utilisateurs
installent le malware. Le document affiche une notification
selon laquelle il a été protégé et demande à l'utilisateur      Figure 7. Les documents malveillants ont des noms tels que « Facture numéro
                                                                .doc », « Rappel de facture .doc », « Facture
d'activer les macros afin d'accéder à son contenu.               Message.doc », etc.

                                                                     Cybercrime : tactiques et techniques 3e trimestre 2017                 8
Malwares Mac

Les malwares Mac ont connu un essor important cette                  Cette situation a changé récemment. En juin, une
année. Ils ont déjà enregistré une croissance dépassant              nouvelle version d'OceanLotus (observé pour la
240 % cette année alors qu'il reste encore un trimestre.             première fois en 2015) a été découverte. En juillet,
Bien que la prolifération des malwares Mac ait légèrement            une variante de Fruitfly (aussi connu sous le nom de
ralenti au troisième trimestre, ce sont les PUP qui ont              Quimitchin), un malware découvert pour la première
posé les plus importants problèmes aux utilisateurs Mac.             fois par Malwarebytes en janvier, a été détectée en
                                                                     train d'infecter ses victimes dans des circonstances
Les vendeurs de PUP sont de plus en plus audacieux sur               différentes de sa version originale. Plus tard ce mois-là,
Mac allant jusqu'à envahir l'App Store d'Apple. Il faut              une nouvelle variante de Leverage (vu pour la dernière
s'attendre à ce que les PUP soient de plus en plus                   fois en 2013) a été trouvée en circulation sur le Web.
omniprésents sur Mac puisqu'ils ne sont pas bloqués
par les protections anti-malware intégrées au système                Ces observations montrent que les Mac attirent des
d'exploitation et que leur détection reste difficile pour            adversaires plus tenaces, qui commencent à trouver
la plupart des solutions de sécurité.                                leur intérêt dans l'infection des Mac. La part de marché
                                                                     des Mac reste minime, mais ils sont de plus en plus
Parmi les menaces ciblant les Mac, une nouvelle                      populaires et leur soi-disant immunité aux malwares
tendance émergente est particulièrement intéressante.                s'est révélée pour ce qu'elle est vraiment : un mythe.
Jusqu'à récemment, la plupart des malwares Mac étaient
détectés par Apple et bloqués par le système empêchant
ainsi l'exécution d'un malware à tout jamais. Dans de rares
cas, un malware continuait à muter pendant un cours laps
de temps avant de disparaître une fois que les méthodes
de détection appropriées étaient mises à disposition.
Maintenant disparu, MacDefender est un exemple parfait.
Celui-ci a fait l'objet d'une intensification des hostilités entre
ses auteurs et Apple. En effet, dès qu'Apple réussissait
à bloquer une version du malware, une nouvelle version de
celui-ci réapparaissait sous un nouveau nom. Cette guerre
n'a duré que quelques semaines, puis MacDefender a cessé
d'être une menace pour de bon.

                                                                        Cybercrime : tactiques et techniques 3e trimestre 2017    9
Malwares Android

Ces derniers mois ont vu l'augmentation progressive des             Comme la plupart des malwares, Android/Trojan.Clicker.
clickers ciblant les utilisateurs Android. Les chevaux de           hyj a un but lucratif. Ses deux méthodes de génération
Troie de type clicker ont pour but de générer des revenus           de revenus sont la fraude à l'accès aux sites Web et les
en établissant continuellement des connexions Web                   abonnements à des services payants. Comme ses auteurs
dissimulées à l'insu des victimes.                                  distribuent un grand nombre d'applications, cela se
Android/Trojan.Clicker.hyj est une nouvelle famille de              traduit par des rentrées d'argent régulières.
clickers capables de fraude au clic et de spammer la liste de
contacts de leurs victimes afin d'infecter d'autres utilisateurs.   Cette menace est présente sur les marchés d'applications
                                                                    alternatifs, mais pas sur Google Play. Notre
Ces applications utilisent des noms de package                      recommandation : se procurer des applications
intéressants, tels que com.java.mail et org.mac.word, qui           uniquement auprès de sources fiables.
semblent légitimes et fiables et pourraient induire en
erreur les victimes comme les chercheurs.

Fortement obscurcie, l'application Android/Trojan.Clicker.
hyj renferme plusieurs fonctionnalités qui la rendent
capable d'une variété d'actions. Ainsi, le package contient
plusieurs fichiers JavaScript qui s'activent dès qu'une URL
est détectée, par exemple pour rechercher des boutons
sur lesquels cliquer dans un site Web et ensuite cliquer
sur ces boutons pour entraîner une action.

Figure 8. URL Javascript de Android/Trojan.Clicker.hyj

Outre la fraude au clic, cette menace peut aussi accéder
à la liste des contacts de ses victimes et envoyer
à ces contacts des spams les invitant à souscrire un
abonnement à une bibliothèque vidéo payante.

Figure 9. Message spam envoyé par Android/Trojan.Clicker.hyj

                                                                       Cybercrime : tactiques et techniques 3e trimestre 2017   10
Spams malveillants

Comme nous l'avons vu jusque-là dans ce rapport,                                  Les spammeurs savent que les utilisateurs des clients de
les spams restent le catalyseur de bien des actions                               messagerie électronique populaires voient rarement ces
malveillantes, qu'il s'agisse de la collecte d'informations,                      e-mails en raison des filtres stricts appliqués. Pour tenter
de l'infiltration des réseaux ou de la livraison des malwares                     de contourner des protections en constante évolution,
sur des systèmes vulnérables. Certaines des familles de                           ils utilisent des technologies automatisées qui aident
malwares les plus largement distribuées utilisent les spams                       à générer du contenu et à randomiser les charges utiles.
comme principal moteur de propagation de nouveaux                                 C'est pourquoi il n'est pas rare de voir des centaines de
échantillons. Pourquoi ? Parce que les spams sont un moyen                        milliers de variantes d'une même campagne. Pour ceux qui
simple, fiable et éprouvé de distribuer des malwares et des                       ne disposent pas d'un accès ou des ressources suffisantes
campagnes d'hameçonnage.                                                          pour acquérir les services de botnets parfois coûteux, des
                                                                                  moyens plus économiques existent pour distribuer des
Les cybercriminels ont à leur disposition plusieurs outils                        e-mails en masse.
pour diffuser les spams malveillants (malspams). Les
botnets de publipostage comme le célèbre Necurs sont                              Les programmes de publipostage permettent à quiconque
capables d'envoyer des millions d'e-mails quotidiennement.                        possédant les capacités techniques de copier-coller du
Le contenu de ces e-mails est très variable, allant de la                         contenu pour envoyer des e-mails à des victimes innocentes
propagation de fausses nouvelles à la livraison des derniers                      tout en cachant l'identité et l'origine des responsables. Ces
échantillons de Locky ou Trickbot. Ce déluge d'e-mails                            programmes peuvent utiliser les adresses e-mail et les mots
inonde les boîtes de réception du monde entier dans l'espoir                      de passe provenant d'anciens piratages sans lien aucun afin
d'inciter ne serait-ce qu'une petite fraction des destinataires                   d'envoyer des e-mails aux victimes potentielles. Ils peuvent
à cliquer sur leurs liens ou fichiers joints.                                     également utiliser des identifiants de connexion déjà
                                                                                  compromis pour envoyer des e-mails au nom d'utilisateurs
                                                                                  existants afin de contourner les filtres anti-spam. Si vous
                                                                                  avez déjà reçu un e-mail prétendant provenir d'un ami qui
                                                                                  propageait une campagne d'hameçonnage ou un malware,
                                                                                  ce vecteur d'infection est certainement le coupable.

        Figure 10. Serveur de publipostage capable d'envoyer des e-mails personnalisés au nom de divers fournisseurs

                                                                                       Cybercrime : tactiques et techniques 3e trimestre 2017   11
Si des campagnes de grande envergure telles que                         télémétrique dédié aux e-mails de Malwarebytes au cours
Locky ou Cerber sont très médiatisées en raison de leur                 du dernier trimestre. Le diagramme permet de visualiser
portée, il existe un grand nombre de campagnes non                      le pourcentage de ces signatures génériques sur le total
médiatisées qui distribuent des e-mails à un plus petit                 des échantillons reçus collectés, comparé aux campagnes
nombre de cibles. De moindre portée, ces campagnes,                     plus connues.
qui allient programmes de publipostage et messages
soigneusement formulés, visent des cibles bien                          La grande majorité des e-mails envoyés ne sont jamais lus
spécifiques et distribuent des malwares spécialement                    par des personnes. Sur les millions d'e-mails envoyés dans
conçus pour optimiser les chances d'infection.                          le cadre d'une seule campagne, une petite partie seulement
                                                                        sera lue et un plus petit nombre encore de destinataires
Les caractéristiques malveillantes de ces petites                       cliquera sur le lien ou la pièce jointe. C'est pour cette raison
campagnes sont généralement regroupées dans                             que la réussite d'une campagne se mesure en centième de
des signatures globales en raison de la petite taille                   pour cent du nombre de messages envoyés. Comme on dit,
du jeu d'échantillon. Souvent appelées « signatures                     les filtres et signatures anti-spam doivent réussir à chaque
génériques », celles-ci rassemblent un large éventail                   fois, les pirates n'ont besoin que d'une fois.
de caractéristiques et comportements de malwares.
                                                                        C'est bien pour cela que les spams vont rester
Le diagramme ci-dessous détaille les 20 principales                     l'un des principaux moteurs de diffusion des
variantes de malwares détectées par le système                          campagnes malveillantes.

                    Backdoor.Tofsee 0,68 %

                   Backdoor.Remcos 0,73 %

                         Trojan.Agent 0,82 %                                  Trojan.MalPack               Spyware.Pony
                                                                                  18,42 %                     12,34 %

                   Spyware.KeyBase 0,93 %

            Ransom.GlobeImposter 1,24 %
                                                                                                                 Ransom.Cerber
                                                                                                                    12,15 %
                          Trojan.Crypt 1,29 %

                      Trojan.Dropper 1,31 %

                                                                                                                     Ransom.Locky
             Ransom.Crypt0L0cker 1,62 %
                                                                                                                        9,93 %

                      Trojan.TrickBot 2,23 %

                Backdoor.NanoCore 2,29 %
                                                                                                             Spyware.LokiBot
                                                                                                                 9,01 %
     Spyware.HawkEyeKeyLogger 2,30 %

                           Trojan.PasswordStealer 3,54 %

                                                           Trojan.Injector   Trojan.Nymaim       Backdoor.Bot
                                                               5,34 %            6,90 %             6,91 %
Figure 11. Spams malveillants au 3e trimestre 2017

                                                                             Cybercrime : tactiques et techniques 3e trimestre 2017   12
Kits d'exploit

Un certain nombre d'événements intéressants touchant       dans un avenir proche, alors qu'ailleurs un nouveau kit
les kits d'exploit ce trimestre méritent d'être traités,   d'exploit ciblant MS Internet Explorer a fait son apparition.
notamment certaines expérimentations. Par exemple,         Ce nouveau kit va-t-il être une menace pour acteurs
l'utilisation du protocole SSL par un acteur de moindre    actuels ? Par ailleurs, la baisse de la distribution des
importance est peut-être une indication de ce que les      ransomwares est une agréable surprise.
professionnels de la cybersécurité vont devoir affronter

Des sites compromis à l'origine de kits d'exploit ?
De manière générale, les sites Web compromis               Il ne fait aucun doute que la qualité des outils
continuent de renvoyer vers des programmes d'ingénierie    d'exploitation a un impact direct sur l'amplitude de
sociale tels que des arnaques au faux support technique    distribution des malwares d'actions intempestives.
(via EITest, apparemment l'une des campagnes la plus       Les systèmes de gestion de contenu ne sont pas
durable encore active) ou vers l'arnaque HoeflerText.      soudainement devenus plus sûrs, loin de là. Comme
                                                           toujours, c'est le retour sur investissement potentiel
Cependant, des exceptions peuvent apparaître de temps
                                                           qui dicte les actions des cybercriminels.
à autre lorsqu'un site Web personnel est utilisé pour
renvoyer vers un kit d'exploit.

        Figure 12. Iframe d'exploit intégré

                                                              Cybercrime : tactiques et techniques 3e trimestre 2017   13
Astrum via AdGholas

Entre fin juin et début juillet, nous avons détecté              Pour masquer le trafic entre le client et le serveur, ils
plusieurs vagues d'une des campagnes de malvertising             utilisent le protocole SSL, qui, combiné à un kit d'exploit
la plus sophistiquée à ce jour, ce qui nous a permis d'en        employant aussi des méthodes de chiffrement (ainsi que
apprendre plus sur certaines campagnes actuelles qui             d'autres tactiques telles que la stéganographie), leur
restent difficiles à identifier.                                 permet d'infecter silencieusement leurs victimes.

AdGholas est le nom d'un groupe d'annonceurs
malveillants qui ont perfectionné l'art de la clandestinité.
Pour éviter d'être repérés, ils créent de fausses identités et
procèdent à un triage hautement granulaire du trafic Web.

                                                                 Figure 14. Protocole SSL utilisé dans la communication du kit d'exploit

                                                                 Outre un bug de divulgation des données (CVE-2017-002),
                                                                 Astrum exploite plusieurs vulnérabilités de Flash Player
Figure 13. Exemple de malvertising AdGholas
                                                                 (CVE-201508651, CVE-2016-1019, CVE-2016-4117).

                                                                      Cybercrime : tactiques et techniques 3e trimestre 2017               14
Nouveaux kits d'exploit

Disdain EK est le nom donné à un nouveau kit d'exploit                                      Ces derniers mois, nous avons également vu des
apparu via malvertising au début du mois d'août. Par son                                    variantes de kits d'exploit existants ou disparus. Pour
URI (Uniform Resource Identifier, identifiant uniforme de                                   le moment, il semble que les efforts se concentrent
ressource), Disdain ressemble à Terror EK, mais le code                                     plus sur les campagnes de distribution (c'est-à-dire
utilisé dans les deux familles est très différent.                                          le malvertising) que sur les outils nécessaires pour
                                                                                            infecter les victimes.
Disdain exploite avant tout les vulnérabilités de MS Internet
Explorer. Malgré plusieurs campagnes distribuant des
charges utiles différentes, le nombre d'infections a baissé
vers la fin du trimestre.

        Figure 15. Trafic du kit d'exploit Disdain distribuant différentes charges utiles

                                                                                             Cybercrime : tactiques et techniques 3e trimestre 2017   15
Expérimentations avec les kits d'exploit actuels

Malgré le ralentissement du développement de nouveaux                                La difficulté pour les experts de la cybersécurité repose
kits d'exploit et de la création de nouvelles fonctionnalités                        sur l'absence de visibilité lorsque le trafic réseau est
dans les kits actuels, nous avons tout de même observé                               crypté. Les techniques ou les outils requis pour procéder
une tendance intéressante quoiqu'inquiétante. C'est une                              au désobscurcissement du trafic (techniques de
chose pour les kits d'exploit les plus astucieux de tenter des                       « l'homme du milieu ») n'offrent pas de garanties et sont
techniques d'évasion et de compliquer leur détection par                             bien souvent interdits en entreprise.
les IDS (Intrusion Detection Systems, systèmes de détection
des intrusions), c'est un tout autre problème lorsque des                            Le trafic malveillant (dont les kits d'exploit) devrait
kits moins sophistiqués s'y essayent à leur tour.                                    progressivement adopter le protocole HTTPS puisque
                                                                                     l'adoption globale de celui-ci progresse rapidement.
C'est pourtant le cas avec Terror EK, lui-même largement                             Rien de surprenant à cela.
inspiré d'autres kits d'exploit tels que Sundown EK.

        Figure 16. Expérimentations avec Terror EK pour éviter la détection par les IDS

                                                                                          Cybercrime : tactiques et techniques 3e trimestre 2017   16
Kits d'exploit et ransomwares

Les spams malveillants sont la principale source          Ces campagnes de distribution n'étant pas les plus
d'infection par des ransomwares. C'est pourquoi il est    populaires (Seamless et Fobos sont de loin les plus
inhabituel d'observer des kits d'exploit distribuant ce   courantes), nous nous sommes demandé s'il s'agissait
type de charge utile.                                     d'une expérimentation par un nouvel intéressé.

Entre fin août et début septembre, nous avons pu          Déjà présent l'année dernière, PrincessLocker a subi des
observer le kit d'exploit RIG livrer les familles de      modifications afin de rendre son décryptage impossible
ransomwares PrincessLocker et GlobeImposter.              sans la clé.

Figure 17. Trafic de Princess Locker

                                                          Bien que GlobeImposter soit un ransomware populaire, sa
                                                          présence dans la livraison d'un kit d'exploit n'en est pas
                                                          moins surprenante. D'une envergure moins importante
                                                          que les autres, il pourrait s'agir d'une campagne visant
                                                          à tester différents mécanismes et charges utiles.

                                                          Aujourd'hui, rien ne justifie de se laisser infecter par
                                                          une attaque de téléchargement intempestif, car les
                                                          vulnérabilités exploitées ont été corrigées (depuis des
                                                          années dans certains cas). Mais nous devons rester
                                                          vigilants face au regain d'activité venant d'acteurs qui
Figure 18. Écran de verrouillage de Princess Locker       testent de nouvelles fonctionnalités pour concurrencer
                                                          le kit d'exploit RIG toujours dominant, mais moins
                                                          performant d'un point de vue technique.

Figure 19. Trafic de GlobeImposter

                                                              Cybercrime : tactiques et techniques 3e trimestre 2017   17
Programmes potentiellement indésirables

Lorsque nous avons commencé à détecter des                                         Ce trimestre, nous les avons vu atteindre cet objectif
programmes potentiellement indésirables (PUP),                                     avec le programme SmartScreen.
il s'agissait en majorité de barres d'outils et de faux                            Par ailleurs, nous en avons appris un peu plus sur
analyseurs. Nous continuons à voir ce type de PUP                                  un PUP qui s'est aventuré un peu trop loin dans
en grands nombres aujourd'hui. La grande différence,                               les systèmes des utilisateurs, ainsi que sur les
ce sont les efforts entrepris par leurs développeurs                               répercussions lorsque les autorités s'en sont mêlées.
pour les diffuser et empêcher leur désinstallation.

SmartScreen

L'industrie des adwares se tourne vers des méthodes plus                         d'autre que de fausses promesses en retour en plus d'être
agressives pour faire parvenir ses publicités à une audience                     de plus en plus intrusifs.
potentielle. Par le passé, de nombreux programmes
affichant des publicités étaient considérés comme des PUP,                       SmartScreen est le parfait exemple de ce comportement.
car ils fournissaient quelque chose d'utile ou de bénéfique                      C'est l'un des pires adwares que nous ayons observés en
à l'utilisateur en contrepartie. Aujourd'hui, la plupart des                     ce sens. Ce logiciel contient des adwares et des PUP pour
programmes à visée principalement publicitaire sont                              empêcher leur suppression. Il utilise deux méthodes pour
considérés comme des malwares, car ils n'offrent rien                            parvenir à ses fins.

        Figure 20. Fonctionnalité d'arrêt de processus du logiciel SmartScreen

                                                                                     Cybercrime : tactiques et techniques 3e trimestre 2017   18
SmartScreen parasite la fonction CreateProcess de                Le but de cette entreprise est transparent puisque
MS Windows afin d'inspecter les nouveaux processus               SmartScreen inclut une composante de fraude
avant qu'ils soient autorisés à s'exécuter. Pour empêcher        publicitaire capable de générer des revenus pour ses
la suppression des adwares du système infecté, il empêche        créateurs. Ce package est aussi toujours le bienvenu
l'exécution voire l'installation des logiciels de sécurité sur   dans les groupes de logiciels indésirables, car il empêche
la base du certificat de sécurité et du nom du processus.        les victimes de supprimer le logiciel indésirable. Les
L'utilisateur reçoit alors le message suivant : « La ressource   cybercriminels ont donc tout à y gagner.
demandée est en cours d'utilisation ».
                                                                 Les efforts pour supprimer cette infection sont toujours
Le programme protège aussi contre l'arrêt de certains            en cours, car les auteurs de ces menaces surveillent
processus et empêche l'utilisateur de supprimer des              activement les mesures prises par la communauté des
fichiers et clés de registre critiques. Lorsqu'il tente          chercheurs et développent des contre-mesures aussitôt
cette action, l'utilisateur reçoit le message suivant :          que les nouvelles protections sont publiées.
« Suppression impossible ».

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017   19
Des nouvelles d'Adware.Elex

Le trimestre dernier, nous présentions une menace                        Aucune des cibles de ce malware n'était chinoise, car
particulièrement inquiétante : la famille d'adwares                      les adwares évitaient d'infecter les systèmes chinois
Fireball. Prenant leur origine en Chine, ces adwares                     afin de ne pas enfreindre la législation nationale.
incluaient une porte dérobée offrant un pouvoir total
pour exécuter des commandes à distance sur la                            Certains pays préfèrent parfois traquer les pirates
machine de la victime.
                                                                         étrangers plutôt que les menaces qui agissent en
                                                                         interne. C'est particulièrement le cas en Europe de
Inclus avec d'autres PUP dans un groupe de logiciels
                                                                         l'Est et en Russie, où il est préférable pour préserver
indésirables, les adwares ont touché 250 millions de
                                                                         son activité et échapper aux autorités de s'en prendre
systèmes dans le monde entier à un moment, d'après
                                                                         aux utilisateurs occidentaux plutôt qu'à ceux de son
les recherches menées. Cette menace avait le potentiel
d'affecter les systèmes victimes des manières suivantes :                propre pays.

• infection par des spywares ou des ransomwares ;                        L'arrestation des créateurs de Fireball signe-t-elle pour
• utilisation dans un botnet pour mener des attaques
                                                                         autant la fin des infections ? Pas vraiment. D'après nos
   DDoS contre des serveurs sur le Web ;
                                                                         statistiques pour ce trimestre, il y a eu un fort déclin
• utilisation comme ferme pour les mineurs de Bitcoins ;
                                                                         des détections de Fireball sur les systèmes infectés,
• utilisation pour diffuser des spams malveillants aux
                                                                         mais il n'a pas complètement disparu. Pour rappel,
   autres utilisateurs.
                                                                         cette menace porte le nom d'Adware.Elex lorsque nous
La bonne nouvelle ? En juin dernier, 11 employés de                      la détectons.
Rafotech (la société qui se cache derrière Fireball) ont
été interpellés à Pékin. Apparemment, ces employés
avaient conscience des capacités de ces adwares et les
ont laissés infecter les utilisateurs malgré tout.

Figure 21. Fonctionnalité d'arrêt de processus du logiciel SmartScreen

La présence continue de cette infection résulte                          groupes de logiciels indésirables tiers. Quoi qu'il en soit,
probablement d'une infection préexistante au moment où                   nous espérons que cette menace va disparaître et que
les utilisateurs infectés font appel à Malwarebytes pour                 tous les développeurs ont compris que la sécurisation
nettoyer leurs systèmes. Il est également possible que                   de leurs codes est essentielle afin d'empêcher leur
des variantes de Fireball soient encore distribuées via des              exploitation par des pirates à des fins néfastes.

                                                                            Cybercrime : tactiques et techniques 3e trimestre 2017   20
Arnaques au faux support technique

C'est sans surprise que la plupart des arnaques au faux        Nous avons identifié deux opérations différentes : une au
support technique ciblent des consommateurs anglophones.       Québec et l'autre à l'île Maurice. Mis à part un léger accent,
D'ailleurs, les drapeaux des États-Unis, du Canada, du         les techniciens parlaient dans un français impeccable.
Royaume-Uni et de l'Australie sont souvent présents sur ces
sites pour représenter les pays dans lesquels leurs services   Il va sans dire que la courtoisie s'arrêtait là. Une arnaque
d'assistance sont disponibles. Sachant que de nombreux         reste une arnaque peu importe la langue dans laquelle
centres d'appel sont situés en Inde, où l'anglais est une      elle est vendue.
langue officielle, c'est tout à fait logique.
                                                               Des exemples de demande de paiement sont reproduits
Cependant, les auteurs de ces arnaques ont commencé            ci-dessous, y compris la tristement célèbre facture au
à se tourner vers d'autres langues il y a déjà quelque         format Bloc-notes.
temps. Le modus operandi reste le même, la localisation
des opérateurs est la seule différence.                        Les faux appels Microsoft sont bien connus aux
                                                               États-Unis, moins dans d'autres pays, mais cela pourrait
Nous avons remarqué une augmentation des arnaques              bientôt changer. Connaître les tactiques et techniques
au faux support technique ciblant des francophones             employées par ces arnaques reste l'un des meilleurs
et avons enquêté afin d'en identifier les sources. En          moyens de ne pas venir gonfler les rangs des victimes.
général, les victimes se font piéger par du malvertising et
des pages Web spécialement conçues qui utilisent des
tactiques d'intimidation.

Figure 22. Arnaque au faux support technique en français

                                                               Figure 23. Facture de services dans Bloc-notes pour une
                                                               arnaque au faux support technique

                                                                   Cybercrime : tactiques et techniques 3e trimestre 2017   21
La FTC rembourse les victimes

Le 28 août, la FTC (Federal Trade Commission, commission         Malheureusement, ces 10 millions USD ne représentent
fédérale du commerce aux États-Unis) a annoncé la création       qu'une infime partie des dommages causés aux utilisateurs
d'un fonds de 10 millions USD au bénéfice des victimes           finaux par les activités d'ATS. La plupart des arnaques
d'Advanced Tech Support (ATS), l'une des arnaques au faux        au faux support technique structurent leurs finances
support technique la plus lucrative à ce jour. ATS signe         de façon à ce que la majorité des bénéfices reviennent
l'une des rares victoires contre les auteurs d'arnaques.         au cercle limité des créateurs. Soit dit en passant, ces
Suite à une première injonction le 22 décembre dernier,          créateurs dépensent généralement ces bénéfices dans
les autorités de Floride et la FTC ont réussi à mettre fin       des signes extérieurs de richesses tape-à-l'œil et des
aux opérations d'ATS et à récupérer un volume de fonds           cadeaux, rendant difficile la récupération des fonds.
important en vue de sa restitution. S'ils y sont parvenus,       Dans le cas d'ATS, la société avait des liens financiers
c'est parce qu'ATS disposait d'une infrastructure, de biens      avec un organisme de traitement des paiements externe
et d'un personnel conséquents aux États-Unis. En outre,          basé au Canada, ce qui leur permettait de déplacer les
plusieurs employés d'ATS avaient divulgué des informations       fonds à l'étranger avant d'attirer l'attention des autorités.
incriminant la société dans des commentaires sur les             Même si un résultat mitigé comme celui-ci est frustrant,
réseaux sociaux et sur certains sites Web. C'est ainsi que les   une victoire juridique décisive contre les créateurs d'une
autorités ont pu monter un dossier accablant qui démontrait      arnaque au faux support technique est un fait rare qui
les malversations.                                               devrait quelque peu dissuader les cybercriminels de
                                                                 monter de nouvelles arnaques similaires aux États-Unis.
                                                                 Au cours du dernier trimestre, Malwarebytes a observé
                                                                 une forte baisse des signalements de victimes d'arnaques
                                                                 au faux support technique basées aux États-Unis et une
                                                                 hausse de ces arnaques basées au Canada.

                                                                    Cybercrime : tactiques et techniques 3e trimestre 2017   22
Piratages

Les entreprises doivent faire face à un déluge d'attaques         Des organisations telles que la société d'évaluation de
perpétrées par des pirates infatigables dans leurs efforts        cote de crédit Equifax, le fournisseur de contenu HBO
pour exploiter des systèmes confidentiels. Depuis les             et même le réseau social Instagram ont été victimes
malwares aux demandes des ransomwares en passant                  de cyberattaques particulièrement néfastes et ont eu
par les failles et l'hameçonnage, les entreprises doivent se      l'embarras d'assister, impuissantes, à la divulgation
parer contre tout un éventail de vecteurs d'attaque si elles      publique de données propriétaires les concernant
veulent préserver l'intégrité et la sécurité de leurs systèmes.   eux-mêmes ainsi que leurs clients.
Si les entreprises, peu importe leur taille, ne déploient
pas les mises à jour à temps ou qu'elles n'assurent pas           Cette section revient sur les piratages les plus importants
une formation adaptée, les conséquences peuvent être              et les plus dommageables de ce trimestre. Comme
dévastatrices, entraînant souvent des actions en justice          toujours, ce rapport exclut les diverses vulnérabilités
coûteuses et portant un coup sévère à leur crédibilité.           de bases de données signalées par les chercheurs
                                                                  en cybersécurité, qui touchent potentiellement des
Malgré une baisse globale du nombre d'attaques                    centaines de millions de données personnelles, mais dont
financières médiatiques contre les grands noms du                 il n'est pas certain qu'elles ont été exploitées par des
commerce, le troisième trimestre 2017 n'en a pas été              acteurs malveillants.
moins dangereux pour la sécurité des individus, comme
en témoigne le piratage des identifiants et données
personnelles de centaines de millions de personnes.

                                                                     Cybercrime : tactiques et techniques 3e trimestre 2017   23
Equifax

C'est l'incident incontournable : le piratage de la base de   Soyons clairs : l'un des plus importants détenteurs au
données d'Equifax a compromis les données personnelles        monde de données personnelles qui se décrit lui-même
critiques de 143 millions d'Américains. Pour les citoyens     comme l'un des plus grands experts de la sécurité et de
américains qui lisent ce rapport : ce chiffre incroyable      la lutte contre la fraude a démontré ici des compétences
signifie que vous êtes certainement concerné par ce           en sécurité opérationnelle (OPSEC) choquantes et tout
piratage. Les noms, numéros de sécurité sociale, dates de     simplement consternantes.
naissance, adresses et, dans certains cas, les numéros de
permis de conduire et les coordonnées de carte bancaire,      Cette crise a déclenché des discussions parmi les
sont désormais à la disposition des responsables de           professionnels de la sécurité et les législateurs
cette attaque.                                                concernant la nécessité de revoir complètement les
                                                              mécanismes qui permettent d'accéder à l'ensemble de
Pour couronner le tout, la réponse d'Equifax suite à la       nos informations les plus personnelles à l'aide d'un simple
révélation de ce piratage pourrait passer à la postérité      code à 9 chiffres.
comme l'archétype d'une mauvaise gestion de crise de
relations publiques.                                          Il y a tout de même une lueur d'espoir. En effet, à l'heure
                                                              où s'écrit ce rapport, les données piratées n'ont été mises
Depuis la divulgation tardive du piratage jusqu'à la vente    à disposition sur aucun des canaux connus. On ignore les
préalable d'environ 2 millions USD de parts par des cadres    implications de cette absence, car il est possible que les
de la société en passant par la clause d'arbitrage contenue   pirates utilisent ces informations à leurs propres fins ou
dans ses sites de vérification et les faux sites Web, la      dans le but d'extorquer une rançon en retour.
réponse à ce piratage a été un cafouillage total. Ce qui
est clair, c'est l'absence choquante de préparation de la     Si ces données ne sont pas rendues publiques, les dégâts
part d'Equifax face à une cyberattaque. Des bases de          causés par le piratage resteront sans doute limités.
données d'entreprise sécurisées par des identifiants aussi    Au contraire, si les données sont mises à disposition
transparents que « admin/admin » au Chef de la sécurité       de quiconque veut les télécharger sur Internet, les
titulaire d'un diplôme de musique dont les identifiants ont   répercussions pourraient se faire sentir pendant
été retrouvés en vente sur le dark web, ce fiasco aurait      des décennies.
pu être comique si les données piratées n'avaient pas un
potentiel aussi dévastateur pour les consommateurs.           Pour en savoir plus sur ce piratage et les mesures
                                                              à prendre, consultez notre article (en anglais) : Equifax
                                                              aftermath: How to protect against identity theft
                                                              (Répercussions d'Equifax : comment se protéger contre
                                                              l'usurpation d'identité).

                                                                  Cybercrime : tactiques et techniques 3e trimestre 2017   24
Informations d'identification personnelle

Dans le plus important piratage du trimestre dans le               Le 30 août, Troy Hunt a révélé qu'un spambot
secteur médical aux États-Unis, le Women's Health Group            impressionnant avait rendu publics les identifiants
of PA a annoncé que l'intégrité de leur base de données            d'accès à 711 millions d'adresses e-mail. Ces adresses
a été compromise, 300 000 patients étant concernés.                e-mail peuvent être utilisées pour distribuer davantage
L'avis d'intrusion informatique date l'incident au 18 juillet et   de spams et les identifiants d'accès peuvent permettre
indique que les noms, adresses, numéros de sécurité sociale        aux spammeurs d'accéder aux comptes compromis pour
et dossiers médicaux des patients ont été affectés.                envoyer des e-mails.

Un piratage du Ministère du Commerce du Kansas a permis            Le 1er septembre apparaissent les premiers
à ses auteurs de récupérer les données de plus de 5 millions       signalements d'une attaque possible contre Instagram.
de personnes vivant dans 10 États. Cette information n'a pas       La société a confirmé par la suite que les identifiants de
fait l'objet d'un avis au public, mais a été découverte suite      6 millions d'utilisateurs ont été compromis. Peu de temps
à une demande de divulgation d'informations publiques.             après, les pirates ont commencé à vendre les données
D'après un rapport de l'organisme Kansas News Service en           des célébrités aux acheteurs intéressés sur le dark web.
date du 20 juillet, environ 5,5 millions de comptes utilisateurs
et numéros de sécurité sociale ont été compromis.                  Le 4 septembre, le service de notification d'intrusion
                                                                   LeakBase a informé les acteurs du secteur de
Le 21 juillet, le New York Times a publié un article               l'existence d'une base de données contenant les noms
détaillant la perte de 1,4 Go de données touchant environ          d'utilisateurs, adresses e-mail et mots de passe codés en
50 000 clients du groupe financier Wells Fargo. Si les             MD5 de plus de 28 millions de comptes Taringa, le plus
dommages peuvent sembler minimaux par comparaison                  grand réseau social d'Amérique latine. Malheureusement
avec le piratage d'Equifax, ensemble, ce petit groupe              pour ces personnes, le chiffrement MD5 de leurs mots
de clients détient des fonds d'une valeur de plusieurs             de passe ne protégera pas leurs données.
dizaines de milliards de dollars. Les personnes disposant
d'un compte bancaire aussi bien rempli chez Wells Fargo            Le 26 septembre, le célèbre blog de sécurité
devraient surveiller leurs finances de très près.                  KrebsOnSecurity a rapporté une possible intrusion
                                                                   touchant les restaurants Sonic. La chaîne de drive-in,
Le 10 août, plusieurs sources ont indiqué qu’un pirate             qui possède presque 3 600 restaurants sur le territoire
anonyme avait revendiqué le vol des dossiers médicaux              américain, a été informée de transactions suspicieuses
de 1,2 million de résidents du Royaume-Uni détenus par             sur les cartes de certains de ses clients. D'après l'article
le NHS (système de santé publique britannique). Le NHS             de KrebsOnSecurity, cette intrusion pourrait toucher
dément cette information, mais reconnaît l’intrusion dans          environ 5 millions de cartes, ce qui en fait l'une des plus
son système. Des données personnelles telles que les               importantes attaques de ce trimestre.
noms, dates de naissance, numéros de téléphone et
adresses e-mail auraient été compromis.                            Pour clore ce trimestre, le 28 septembre, Whole Foods
                                                                   a révélé que les données de carte de crédit de ses
Le 29 août, CEX, le vendeur britannique de produits                clients ayant effectué des achats dans ses restaurants
électroniques d'occasion, a révélé une intrusion dans              ou ses bars ont été exposées à des pirates. Whole Foods
son système touchant 2 millions de clients. L'entreprise           a expliqué que les points de vente concernés utilisaient
a indiqué que les pirates ont pu avoir accès à des                 des systèmes d'encaissement différents de ceux utilisés
données personnelles telles que des noms, adresses et              par les magasins dans lesquels ils sont implantés.
numéros de téléphone.                                              Amazon Inc, qui vient de racheter le distributeur
                                                                   alimentaire américain, a confirmé qu'aucun autre service
                                                                   d'Amazon n'était affecté.

                                                                      Cybercrime : tactiques et techniques 3e trimestre 2017   25
Vous pouvez aussi lire