Olympic Destroyer élargit son champ d’action

Il s’avère que le malware Olympic Destroyer, une menace avancée qui a essayé de saboter les Jeux Olympiques d’hiver qui ont eu lieu en Corée du Sud en 2018, est de retour. Nos experts ont récemment détecté des traces d’activités similaires à Olympic Destroyer, mais cette fois les actions visent les organisations financières de la Russie, et les laboratoires de prévention des menaces biologiques et chimiques des Pays-Bas, de l’Allemagne, de la France, de la Suisse et de l’Ukraine.

Quel est le problème ?

La version originale du malware Olympic Destroyer utilisait des méthodes très sophistiquées pour tromper les utilisateurs. Comme leurre, il a d’abord utilisé des documents très convaincants qui contenaient un malware caché. Ensuite, il a mis en place des méthodes d’offuscation pour que les solutions de protection ne puissent pas le détecter. Mais le plus étrange est qu’il a utilisé plusieurs fausses bannières pour compliquer l’analyse de menaces.

Avec cette nouvelle menace, nous observons une nouvelle espèce de documents d’harponnage, qui disposent d’une charge utile similaire aux outils de la version originale du malware Olympic Destroyer. Il n’y aucun signe de ver pour le moment, mais les documents que nous avons vus jusqu’à présent pourraient indiquer qu’il s’agit d’une phase de reconnaissance, tout comme ce fut le cas en 2017 puisqu’une phase de reconnaissance a précédé le sabotage.  Vous pouvez consulter les informations techniques et l’infrastructure de ce malware, ainsi que les indicateurs de compromis dans cet article publié sur Securelist.

Nouveaux intérêts

Ici, la véritable nouveauté concerne les cibles choisies par ce nouveau malware. Notre analyse des lettres utilisées comme leurre, montre que cette fois, les cybercriminels essaient de s’infiltrer dans les laboratoires de prévention des menaces biologiques et chimiques. Parmi les nouvelles cibles, nous trouvons également les organisations financières de la Russie, même si l’aspect financier pourrait être une fausse bannière.

En plus des scripts offusqués, les documents font référence à « Spiez Convergence » (un séminaire qui a eu lieu en Suisse pour les chercheurs en menaces biochimiques), à l’agent innervant qui aurait été utilisé pour empoisonner Sergei Skripal et sa fille en Angleterre, et aux ordres donnés par le ministre de la santé ukrainienne.

Ce que ça signifie pour votre entreprise

En général, lorsque nous parlons des menaces qui se répandent en utilisant l’hameçonnage, notre premier conseil est d’être encore plus attentif lorsqu’il s’agit d’ouvrir des fichiers suspects. Malheureusement, ce conseil ne peut pas s’appliquer ici puisque les documents ne sont pas suspects.

Les leurres créés pour cette attaque d’harponnage sont adaptés à la victime pour que les documents lui semblent pertinents. Tout ce que nous pouvons recommander aux entreprises qui travaillent dans la prévention et la recherche sur les menaces biochimiques, et aux structures présentes en Europe, est de réaliser des audits de sécurité non programmés. Oh, et n’oubliez pas d’installer des solutions de protection fiables. Nos produits détectent et bloquent les malwares qui appartiennent à la même famille qu’Olympic Destroyer.

Source: Antivirus

Appels téléphoniques commerciaux non souhaités : il faut les signaler

Alors qu’un député s’est interrogé sur « la faible efficacité des mesures mises en œuvre afin de lutter contre le démarchage téléphonique » (en particulier le dispositif Bloctel), le ministère de l’Économie et des Finances rappelle que les signalements déposés par les consommateurs inscrits sur Bloctel, via le formulaire en ligne sur bloctel.gouv.fr ou par courrier restent essentiels pour lutter contre certaines pratiques abusives.

Source: Service Public

Match France-Pérou à Ékaterinbourg : mais elle est où cette ville ?

Vous savez sans doute que l’équipe de France de football va jouer contre celle du Pérou jeudi 21 juin 2018 à Ékaterinbourg mais vous ne savez peut-être pas où se trouve cette ville de la Fédération de Russie. Service-public.fr qui aime aussi le foot vous propose un petit point géographique (et historique).

Source: Service Public

L’évolution du ransomware — et les outils pour y faire face

Les ransomwares qui ont fait les gros titres l’année dernière sont la conséquence de ce que nous pouvons décrire comme un bond en avant. Les cybercriminels sérieux ont transformé la simple menace du cryptage de fichiers en un outil plutôt complexe. De plus, tout montre que cette tendance va se poursuivre.

Avant 2017

Autrefois, les victimes de ransomware étaient principalement des passants occasionnels. Les cybercriminels lançaient des spams partout en espérant trouver au moins un utilisateur qui aurait des fichiers importants dans son ordinateur, et qui ouvrirait la pièce jointe malveillante.

La situation a changé en 2016. Les listes aléatoires des spammeurs ont été de plus en plus remplacées par les adresses des employés d’une entreprise qui avaient été trouvées en ligne, et spécifiquement collectées. Les coupables avaient clairement compris qu’il était beaucoup plus rentable d’attaquer les entreprises. Par conséquent, le contenu des messages changeait également. Au lieu de se faire passer pour une correspondance personnelle, les messages semblaient désormais avoir été envoyés par des collaborateurs, des clients et les services fiscaux.

2017

La situation a de nouveau changé en 2017 ; radicalement cette fois. Deux épidémies à grande échelle ont affecté des millions de personnes et ont montré que le ransomware pouvait avoir différents objectifs autres que l’extorsion. Le premier est le tristement célèbre ransomware WannaCry qui fût un pionnier technologique. Ce ransomware a exploité une vulnérabilité dans l’implémentation du protocole SMB sous Windows. Il s’agissait d’une vulnérabilité qui avait déjà été réparée, mais de nombreuses entreprises n’avaient pas pris le temps d’installer le patch. Cependant, cela n’était qu’une partie du problème.

WannaCry n’a pas eu de succès comme ransomware. Même s’il a infecté des centaines de milliers d’appareils, WannaCry ne rapportait que de modestes bénéfices à ses créateurs. Certains chercheurs ont commencé à se demander si l’objectif final était l’argent, ou s’il s’agissait plutôt d’un sabotage ou de la destruction de données.

La menace suivante a effacé tous les doutes. ExPetr ne pouvait pas récupérer les données cryptées. Il s’agissait d’un wiper déguisé en ransomware. De plus, il utilisait une nouvelle supercherie. En utilisant une attaque de la chaîne d’approvisionnement, les créateurs ont réussi à mettre en péril une partie du logiciel ukrainien de comptabilité MEDoc, et ont exposé au risque d’infection les entreprises ayant une activité en Ukraine.

2018

Les événements qui se sont déjà produits cette année ont montré que le ransomware continue d’évoluer. Nos experts ont récemment étudié une menace assez nouvelle : la dernière modification du ransomware SynAck. Ils ont découvert qu’il contenait des mécanismes complexes pour contrer les technologies de protection, ce qui montre qu’il s’agissait d’une attaque ciblée. Les contre-mesures incluent :

  • L’application d’une méthode de duplication du processus, connue comme le Processus Doppelgänging, qui essaie de faire passer un processus malveillant pour légitime ;
  • L’assombrissement du code exécutable avant la compilation ;
  • Une vérification pour s’assurer qu’il n’est pas surveillé dans un environnement contrôlé ;
  • Des processus et services d’arrêt pour garantir l’accès aux fichiers importants ;
  • Le nettoyage des registres d’événement pour gêner les analyses postérieures à l’incident.

Il n’a aucune raison de croire que le ransomware a fini d’évoluer. Ses créateurs vont continuer de chercher comment l’améliorer.

Comment arrêter l’évolution du ransomware

La seule façon de mettre un terme au développement du ransomware est de rendre ses attaques inefficaces. Pour ce faire, il faut disposer des dernières technologies de pointe. Nos clients ont longtemps été sains et saufs. Toutes nos solutions destinées aux points de terminaison d’entreprises disposent de sous-systèmes qui nous permettent de combattre effectivement le ransomware.

Même si vous n’utilisez pas les solutions de Kaspersky Lab destinées aux entreprises, il n’y a aucune raison pour laisser vos données sans protection. Kaspersky Anti-Ransomware Tool, notre solution spécifique à ce problème, augmente les mécanismes de sécurité de la plupart des fournisseurs tiers. Cet outil utilise les dernières technologies de détection comportementale pour révéler le ransomware, et il profite pleinement de nos outils hébergés dans le Cloud. Il évolue également pour relever le défi des menaces modernes. Nous venons juste de sortir la troisième version.

Cette dernière version de Kaspersky Anti-Ransomware Tool peut être déployée depuis la ligne de commande, ce qui facilite une mise en place automatique dans les réseaux de l’entreprise. Comme si cela n’était pas suffisant, cette solution est entièrement gratuite. Enregistrez-vous, téléchargez le fichier et installez l’application en cliquant ici.

Source: Antivirus

Jeunes européens : gagnez des passes pour voyager gratuitement en train dans l'UE cet été

Si vous avez 18 ans, si vous êtes citoyen d’un État de l’Union européenne (UE) et si vous souhaitez voyager dans l’Union cet été, savez-vous que, sur le portail européen de la jeunesse, vous pouvez gagner l’un des 15 000 passes de transport qui vous permettra de voyager gratuitement en train (mais aussi en bus et en ferries) à travers toute l’Europe ?

Source: Service Public Administration