Actualité

Cyber risks : alerte aux ransomwares

10 Mars 2016

L'AMRAE relaie les informations de plusieurs entreprises et de la gendarmerie nationale concernant 3 ransomwares (logiciel malveillant qui prend en otage des données personnelles) :

- LOCKY : Récemment, une entreprise rhonalpine a reçu un mail ayant pour objet « Proforma Invoice », dont le texte est rédigé dans un français approximatif, contenant une pièce jointe dénommée « facture (suivi de 5 chiffres).doc », pouvant laisser supposer qu'il s'agit d'une confirmation de commande.
Suspicieux et ce à juste titre, le chef d'entreprise n'a pas ouvert le document et a immédiatement alerté l'ensemble des salariés de son groupe.
Grand bien lui en a pris puisqu'après analyses, il s'avère que ce courriel contenait un ransomware dénommé LOCKY. Cette excellente réaction a vraisemblablement permis d'éviter le pire. Plusieurs autres affaires similaires ont d'ores et déjà été recensées.
Toute entreprise rhônalpine est particulièrement susceptible de faire l'objet de ce type d'atteinte.

- CRYSIS : A peu près à la même date (mi-février 2016) que le ransomware LOCKY, une seconde campagne de ransomware dénommé ce coup-ci CRYSIS a également été lancée (Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis").
Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée.
Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact dalailama2015@protonmail.ch par exemple.

Comme le mentionne à juste titre le site malekal.com, la première règle élémentaire de sécurité est la suivante :
                                     "On réfléchit puis on clique et non pas l'inverse"

Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware.

La seconde règle de sécurité à appliquer par tous (particuliers, administrations et entreprises privées) est de réaliser des sauvegardes très régulières et d'en vérifier la viabilité. En cas de problème, cette action est la seule à permettre un retour à la normale (plus ou moins rapide) après avoir subi une atteinte de ce type.

Lien à consulter sur ce sujet : http://forum.malekal.com/fiche-ransomware-crysis-t54445.html

- KE.RANGER ou KEYRANGER: est  un malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets devraient se faire
ressentir à compter du 07 mars 2016.
Et ces effets risquent d'être dévastateurs, si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.
Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon s'il veut recouvrer ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).
Une fois ce délai de grâce de 3 jours achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.
Les utilisateurs ayant installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès aujourd'hui, d'être les victimes de Ke.Ranger.
Apple aurait réagi en supprimant le certificat du développeur permettant d'installer le malware.
Les ransomwares sont de plus en plus courants sur Windows, et jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.

Tags webzine: