Archives des cyberattaque - Détective privé Luxembourg

Arnaque, Cybercriminalité, Fraude, Intelligence économique

Les cybercriminels coopèrent

Juil 7, 2016 par Thierry 0 Commentaires #braquage informatique, #cheval de Troie bancaire, #cyberattaque, #cybercrime, #cybercriminalité, #cybercriminels, #cyberdélinquance, #cyberescroquerie, #cyberespionnage, #détective privé Luxembourg, #phishing, #piratage informatique, #pirate informatique, #vol de fichier client, #vol informatique

les cybercriminels coopèrent

Avenir de l’IT : Des chercheurs de Kaspersky affirment que des cybercriminels russes et brésiliens s’échangent des outils et des techniques pour cibler leurs victimes respectives.

Pour comprendre comment mieux lutter contre une cybercriminalité mondialisée.

Les cybercriminels coopèrent : Des cybercriminels établis dans les deux hémisphères du globe œuvrent ensemble à améliorer les techniques, les logiciels et les outils malveillants utilisés pour perpétrer des cyberattaques, préviennent des chercheurs.

Une enquête de Kaspersky Lab montre que des cybercriminels basés au Brésil et en Russie, à plus de 10 000 km de distance, surmontent les barrières de la langue et de fuseau horaire pour s’échanger des techniques et accélérer le développement de programmes malveillants.

Cela signifie une évolution des ransomwares et d’autres formes de logiciels malveillants qui, il n’y a pas si longtemps, étaient développés de manière totalement isolée les uns des autres, donnant lieu à des techniques de cyberattaque qui révélaient la région d’origine des attaques. Par exemple, le programme malveillant Boleto, qui a dérobé 4 milliards de dollars en deux ans, était spécifique du Brésil, dans le sens où il interceptait les paiements de Boletos, version brésilienne d’un mandat.

Coopération via les forums

Toutefois, des chercheurs viennent de découvrir que des cybercriminels brésiliens et russes travaillent ensemble, visitant leurs forums criminels souterrains réciproques pour acheter et vendre des programmes malveillants, ainsi que pour proposer des services et des conseils.

Les cybercriminels coopèrent : Nous avons des preuves suffisantes que des criminels brésiliens coopèrent avec des gangs d’Europe de l’Est impliqués dans ZeuS, SpyEye et d’autres programmes malveillants créés dans la région », écrit Thiago Marques, chercheur en sécurité à Kaspersky, dans un billet.

Kaspersky a d’abord remarqué des signes de coopération entre les pirates informatiques des deux pays sur un forum souterrain de langue russe : un utilisateur surnommé Doisti74 se disait intéressé par l’achat de « charges » brésiliennes, se rapportant à l’installation réussie de programmes malveillants sur des PC au Brésil. Le même utilisateur a été vu également sur des forums cybercriminels brésiliens, où sont propagés des logiciels de rançon à des victimes au Brésil.

On sait que « Doisti74 » fréquente des forums cybercriminels russes et brésiliens. Image : Kaspersky

Ce n’est qu’un des nombreux exemples de coopération entre des cybercriminels russes et brésiliens identifiés par Kaspersky Lab. Dans un cas, le cheval de Troie bancaire Crishi, d’origine russe, a commencé à utiliser un algorithme pour générer des domaines d’hébergement ; à peine quelques mois plus tard, les instigateurs brésiliens de Boleto reprenaient la même infrastructure.

Obscurcissement du code

Les chercheurs suggèrent que cette utilisation n’aurait pas été possible sans une certaine forme de coopération entre les pirates informatiques des deux pays, notamment parce qu’elle a rendu le programme malveillant brésilien plus difficile à combattre.

Il y a encore quelques années, les programmes malveillants bancaires brésiliens étaient très basiques et faciles à détecter. Avec le temps, cependant, leurs auteurs ont adopté de multiples techniques pour éviter la détection, notamment l’obscurcissement du code, des fonctions de rootkit et de bootkit, etc. Leurs programmes malveillants sont ainsi beaucoup plus sophistiqués et difficiles à combattre. Ils peuvent remercier les technologies malveillantes développées par des criminels russophones », affirme Thiago Marques.

Nous pensons que ce n’est que le sommet de l’iceberg et que ce type d’échanges aura tendance à augmenter au fil des années, à mesure que la criminalité brésilienne va se développer et chercher de nouveaux moyens d’attaquer les entreprises et les individus », ajoute-t-il.

IDÉE D’OUVRIR UNE ENQUÊTE INTERNATIONALE

Toutefois, cet échange ne fonctionne pas que dans un sens, puisqu’il existe des preuves que les cybercriminels brésiliens aident également leurs homologues russes. Par exemple, les pirates informatiques brésiliens utilisent activement, et depuis un moment déjà, des scripts d’autoconfiguration de proxy pour rediriger les victimes vers de fausses pages bancaires afin de dérober leurs informations. Cette technique est désormais également employée par les cybercriminels russophones qui utilisent des chevaux de Troie pour cibler les banques russes.

Pour Thiago Marques et Kaspersky, il n’y a qu’une seule réponse pour combattre la coopération internationale entre les cybercriminels : que les chercheurs en sécurité et les autorités chargées de l’application de la loi coopèrent de la même manière. « Nous pensons que la meilleure façon de réagir à ce type de menace internationale est d’ouvrir une enquête internationale sur ces activités. Tout comme la cybercriminalité n’a pas de frontières, les enquêtes ne doivent pas en avoir non plus », conclut-il.

Source : http://www.zdnet.fr/actualites/comment-les-cybercriminels-cooperent-pour-rendre-les-programmes-malveillants-encore-plus-dangereux-39838748.htm

Votre contact 24/24 – 7/7 :
Thierry ARTHAUD
Tél : +352 661 905 905
mail@dplintelligence.lu

Cybercriminalité, Enquête - Filature, Fraude, Intelligence économique

Rançongiciels

Sources :
http://blog.crimenumerique.fr/tag/rancongiciel/

Au palmarès des arnaques les plus prisées du moment, vous trouverez de belles saloperies regroupées sous le nom de « ransomwares » ou « rançongiciels » en français. Le principe en est hélas, très simple et très efficace, et joue à fond sur votre peur du gendarme et/ou des conséquences que votre passage sur un site pornographique ou de jeux aurait sur votre couple ou votre famille.

Sous l’action d’un malware glané au gré de vos pérégrinations, votre ordinateur est bloqué par un message semblant émaner de la police ou de la gendarmerie vous intimant l’ordre de régler une amende de 100 à 200 euro en moyenne afin de débloquer votre ordinateur, force logo et écusson officiels à l’appui.

Évidemment, il vous faudra régler via des services de paiement sans traçabilité. Au delà de la médiocre orthographe trahissant un message traduit par un ressortissant étranger à l’aide d’un traducteur automatique, il est évident qu’en aucun cas un service de police français ne procèderait de la sorte. Mais le matraque fiscal automobile aidant, tout le monde se sent coupable d’une manière ou d’une autre, ce qui rend le terrain psychologique d’une majorité de personne vulnérable à une intrusion de ce type.

Pas de chance, un redémarrage simple ne servira à rien, le malware résidant se rechargeant automatiquement à chaque fois accentuant l’effet de « prise de contrôle » par les autorités…

Fonctionnement du rançongiciel

Le principe rencontré est souvent très similaire:
La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.

Le paiement de la rançon ne débloque évidemment pas l’ordinateur.

Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Que faire si je suis victime d’un rançongiciel ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):
● Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
● Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
● Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
● Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
● Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la loterie(s) et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.
Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.
C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par

les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer
Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).
Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (« la femme avec qui tu discutais était ma petite sœur mineure… »). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction
C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone.

Conseil en cybersécurité