Déja 10 ans d'existence !

Comme bon nombre de clients, faites appel à nos services, vous ne serez pas déçue

Tél: A Linas: 06.67.44.90.09  A Morsang sur Orge: 07.67.29.24.24

Panique à bord pour les utilisateurs du réseau social Instagram ! La fuite de données orchestrée par le groupe « DoxAGram Team » s’avère beaucoup plus sévère que prévue, et représente 6 millions de comptes.

Alors que certains pensaient que seuls quelques comptes de célébrités étaient touchés en fin de semaine dernière, il s’avère que le piratage est massif : plus de 6 millions de comptes utilisateurs sont en fuite sur le DarkNet, et les données de certaines célébrités sont à vendre à l’unité à 10 dollars pièce (en Bitcoin) ou en pack avec des tarifs promotionnels. On retrouve les informations personnelles (y compris le numéro de téléphone mobile comme le rapport le communiqué officiel) de stars telles que Selena Gomez, les noms de Justin Bieber, de Taylor Swift, Neymar ou encore Kirsten Dunst.

Les cybercriminels semblent avoir réussi à exploiter la faille de sécurité de manière automatisée afin d’extraire des données de plusieurs millions d’utilisateurs. Malins, il ont aussi ouvert le service dédié Doxagram sur le DarkWeb afin de commercialiser les données volées… La faille en question se trouvait dans une API Instagram depuis 2016, utilisée dans une ancienne version de l’application mobile, et plus précisément, au sein de la fonction de réinitialisation du mot de passe. La vulnérabilité a été signalée par Kaspersky à Instagram, qui l’a corrigé dans le courant de la semaine dernière. Attention tout de même, car à ce jour, rien ne prouve que ce soit cette vulnérabilité qui a été exploitée par les pirates pour dérober ces données sensibles : elle ne semblait pas être l’idéale pour extraire à grande échelle…

Notons que les données en fuites concernent les adresses e-mail et les numéros de téléphones entre autre, mais pas de mots de passe. Les pirates ont envoyé un échantillon de 10 000 comptes à Ars Technica et le chercheur et expert en sécurité Troy hunt a pu les authentifier.

 

On retrouve donc une véritable industrialisation du processus de commercialisation des données personnelles volées, que l’on appelle couramment « Doxing as a service« .

En parallèle, Instagram explique être en train d’enquêter sur cette brèche de données et invite ses utilisateurs à la prudence afin d’éviter que des cybercriminels n’exploitent les données récupérées pour prendre le contrôle du compte de la cible. La société précise que les mots de passe des utilisateurs n’ont pas été dérobés, mais les informations personnelles telles que les numéros de téléphone peuvent être utilisées pour réinitialiser les mots de passe sur certains services, ou pour des tentatives de phishing plus élaborées. Une chose est sûre, c’est que l’on a affaire ici à un très gros leak, qu’il ne faut pas ignorer.

Notons que les pirates se seraient vantés de détenir l’intégralité des données des 200 millions d’utilisateurs du réseau social. Facebook, de son côté, a déclaré que cette information était mensongère. Affaire à suivre !

Source: undernews.fr

-------------------------------------------------


C’est probablement l’incident qui a mis les ransomware sous les feux de la rampe médiatique, plus d’un an avant l’épidémie de WannaCry. En fevrier 2016, le Hollywood Presbyterian Medical Center de Los Angeles en Californie a été visé par le ransomware Locky. L’attaque a chiffré les systèmes de tout le réseau, empêchant les employés d’accéder aux ordinateurs et aux données.



L’hôpital a fini par céder et a accepté de payer une rançon de 40 bitcoins, une somme équivalant à l’époque 17.000 dollars afin de récupérer la clef de déchiffrement.

« La manière la plus rapide de retrouver l’accès à nos données et aux fonctions administratives était de payer la rançon et d’obtenir la clef de déchiffrement. Afin de pouvoir revenir à un rythme d’opération normal, c’est donc ce que nous avons fait » a expliqué à l’époque Allen Stefanek, le président du Hollywood Presbyterian Medical Center.

Locky a poursuivi ses infections au cours de l’année 2016 à un rythme effréné, sans autre alternative pour les victimes que le paiement de la rançon. Cette souche de ransomware était si populaire qu’au mois de novembre 2016, elle était devenue l’un des malwares les plus communs.

Mais en décembre 2016, Locky a entièrement disparu. Certains chercheurs ont ainsi évoqué l’idée que les opérateurs étaient partis en vacances pour les fêtes. Il a fait son retour en janvier, mais dans des proportions moindres par rapport au volume de diffusion constaté précédemment.

Depuis, le rythme d’infection a continué sur le même mode, avec des périodes d’activités importantes suivies d’un calme plat. Ainsi, après plusieurs mois de silence radio, le roi des ransomware a fait son grand retour dans le courant du mois d’octobre à travers une campagne d’emails piégés envoyés à plusieurs millions de cibles. De plus, les victimes étaient visées par de nouvelles évolutions de ce ransomware baptisées Diablo et Lukitus.

Mais pourquoi le ransomware est-il resté sous le radar si longtemps ?

Personne ne sait exactement qui tire les ficelles de Locky, mais la sophistication du malware et de ses outils de chiffrement, que les chercheurs ne sont pas encore parvenus à décrypter, laisse penser que le groupe à l’origine du malware est particulièrement professionnel et compétent.

Comme n’importe quel éditeur logiciel, ils travaillent constamment à améliorer leur logiciel. De plus, Locky n’est pas disponible sous une forme Saas, contrairement à d’autres ransomwares. Cela pourrait signifier que les périodes d’inactivité du virus correspondent à des phases d’améliorations et de développement de celui-ci.

« La pause que nous avons vue de la part de Locky était probablement une décision mûrement réfléchie de la part des développeurs de ce dernier. Comme n’importe quelle organisation, ils ont besoin de temps pour améliorer le code de leur logiciel, revoir l’infrastructure de Command&Control, développer de nouveaux vecteurs d’attaque ou revoir leur liste de cible ou leurs outils de paiement de rançon » explique Troy Gill, directeur de la recherche en sécurité chez AppRiver.

Chaque fois que Locky a ressurgi après une période de silence, son comportement était légèrement différent, ce qui laisse penser que les opérateurs derrière le ransomware expérimentent avec leur outil. Le retour de Locky en avril a ainsi permis de voir que cette nouvelle version avait recours à une nouvelle méthode de diffusion utilisant des PDF piégés au lieu des traditionnels documents Office, une technique généralement associée au malware Dridex. Il est donc envisageable d’imaginer que le malware passe hors ligne le temps que ses opérateurs examinent les tendances en matière de malware et décident ou non d’implémenter certaines idées.

« Le timing de ces retours coïncide avec l’apparition de nouvelles fonctionnalités, telles que l’ajout des extensions Diablo et Lukitus pour les extensions des pièces jointes ainsi que la distribution via de nouvelles techniques utilisant des PDF ou des liens piégés » explique Brendan Griffin, directeur de la division Threat Intelligence chez Phishme. « Les périodes d’inactivité de Locky sont utilisées afin de l’améliorer et de trouver de nouveaux moyens de diffuser ce malware. »

Locky est distribué grâce au botnet Necurs, qui regroupe plus de 5 millions d’ordinateurs infectés, et le ransomware semble passer inaperçu quand le botnet est utilisé pour d’autres activités. Par exemple, Necurs est revenu sur le devant de la scène en mars après une période d’inactivité afin d’être réutilisé pour distribuer des emails de spam.

Les mois suivants, on a constaté que le botnet Necurs était utilisé pour distribuer le ransomware Jaff. Celui-ci est moins sophistiqué que Locky, mais les chercheurs estiment que Jaff et Locky sont liés. Ainsi, les sites utilisés pour déchiffrer les fichiers de Locky et de Jaff semblent quasiment identiques. De plus, Locky comme Jaff refusent de s’exécuter dès lors que le système de l’utilisateur est paramétré en russe. Contrairement à Locky, les chercheurs sont néanmoins parvenus à concevoir un outil de décryptage des fichiers chiffrés par Jaff.

Depuis, le botnet Necurs a recommencé à distribuer Locky. Ce changement de stratégie pourrait laisser penser que les cybercriminels à l’origine de ces ransomware voient Locky comme une solution de repli et une source de revenu stable, mais qu’ils ne s’interdisent pas d’expérimenter avec d’autres outils.

« Locky est un ransomware incroyablement sophistiqué et puissant » résume Adam Kujawa, directeur Malware Intelligence chez MalwareBytes. « Au final, les cybercriminels veulent de l’argent et ils sont pour cela prêts à utiliser tous les outils à leur disposition. » Si Locky est un succès, les cybercriminels à l’origine de son projet restent probablement des opportunistes constamment à l’affût de nouveaux outils pour extorquer des rançons. Si cela implique de laisse Locky de côté pendant une période, alors qu’il en soit ainsi.

Mais pour l’instant, Locky reste une valeur sûre : si les victimes cessaient de payer des rançons, les cybercriminels auraient tôt fait de passer à de nouvelles méthodes. Mais plus de 18 mois après l’attaque du Hollywood Presbyterian Medical Center, Locky est toujours là et s’attaque à de nouveaux réseaux. Les ransomwares restent une méthode efficace, car de nouvelles machines continuent d’être infectées et de nouvelles entreprises acceptent de payer les rançons pour récupérer l’accès à leurs systèmes, notamment en l’absence d’outil de décryptage.

Pour résumer, Locky est de retour, car Locky est efficace. La prochaine fois qu’il semblera disparaître, ne criez donc pas victoire trop vite : il est plus que probable que ses créateurs aient simplement choisi de faire une pause pour le rendre encore plus efficace.

Cet article est une traduction de "Locky ransomware: Why this menace keeps coming back" initialement publié sur ZDNet.com


ORDINATEUR PORTABLE: Remplacement  Dalle / Inverter / Clavier  sur DEVIS