Gatak : un malware qui expose le piratage de logiciels au sein des entreprises
Gatak : un malware qui expose le piratage de logiciels au sein des entreprises
Et particulièrement celles du secteur de la santé
Les malwares se propagent à travers plusieurs canaux et de différentes façons afin de s’installer sur les machines de leurs victimes. Dans beaucoup de cas, les sites de piratage sont plébiscités par les cybercriminels afin de mettre en avant les virus et Trojans en les couplant avec les logiciels et jeux piratés.
Loin d’être une nouvelle tactique, les concepteurs de Gatak l’utilisent pour propager ce Trojan. Gatak est très connu par le fait qu’il affecte ses victimes principalement à l’aide des keygens, c’est-à-dire ces petits programmes qui permettent de déverrouiller et fournir les clés d’activation pour le piratage des logiciels. Gatak est livré avec ces clés de produits et si l’utilisateur télécharge et ouvre l’un de ces fichiers, le malware s’installe clandestinement sur l’ordinateur. Ce qui est intéressant, c’est que Gatak cible en premier lieu les utilisateurs des entreprises, et particulièrement ceux du secteur de la santé.
Les logiciels pour lesquels de faux keygens ont été créés pour aider à la prolifération de da Gatak donnent une idée assez claire du type d’utilisateur ciblé par le malware. Des titres de logiciels comme SketchList3D, Siemans SIMATIC STEP 7, CadSoft Eagle Professional, PremiumSoft Navicat Premium et Manctl Skanect… Bref des logiciels qui ne disent rien à l’utilisateur lambda, mais qui sont très prisés dans le milieu entreprise. Les hackers semblent ainsi cibler les entreprises qui auraient tendance à recourir au piratage de ces logiciels pour faire un peu d’économies.
Selon Symantec, la majorité des infections (62%) ont été repérées dans des ordinateurs d’entreprises, et dans le top 20 des organisations les plus touchées, 40 % d’entre elles appartiennent au secteur de la santé. « On connait très peu de détails sur le groupe derrière Gatak, mais la nature des cibles du malware et l’absence de vulnérabilités zero-day ou des modules avancés du malware suggèrent que le Trojan est cybercriminel de nature ; toutefois, il a aussi d’autres capacités pour réaliser des opérations d’espionnage plus traditionnelles », a indiqué Symantec. « Il n’est pas clair si Gatak profite de ces attaques. Il y a une possibilité de vols de données afin que les attaquants puissent vendre des informations personnelles et les autres données dérobées sur le net. C’est peut-être pour cette raison qu’ils ciblent en premier lieu le secteur de la santé ; en effet les dossiers de santé se vendent plus que les autres informations personnelles. »
Symantec a noté également que le secteur de la santé serait le plus vulnérable à ce genre d’attaques. Il faut savoir que les institutions de santé sont souvent sous pression, mal-équipées et beaucoup d’entre elles utilisent des systèmes dont la mise à niveau peut s'avérer fort couteuse. En conséquence, les employés seraient tentés de prendre des raccourcis et installer des versions piratées. Le groupe derrière Gatak s’est concentré au début sur des cibles aux États-Unis avant de diversifier ses activités durant les deux dernières années et s’attaquer à des organisations dans plusieurs pays du globe.
Aussi connu sous le nom Stegoloader, Gatak a été utilisé pour mener des attaques depuis au moins 2011. Le malware s’appuie sur une technique appelée stéganographie pour cacher des données sur des fichiers images. Quand Gatak est installé sur un ordinateur, il tente dès lors de télécharger un fichier image PNG à partir d’un nombre d’URL insérées dans le malware. L’image en question apparait tout à fait comme une photo ordinaire, mais elle contient un message chiffré dans ses données pixels. Le Trojan Gatak est en mesure de déchiffrer ce message qui contient les commandes et les fichiers nécessaires pour son exécution.
Le malware est composé de deux composants principaux a expliqué Symantec. Un module Trojan.Gata.B pour un déploiement léger destiné à réaliser un diagnostic détaillé des systèmes infectés et sélectivement installer d’autres modules s’il le faut, à savoir plusieurs variantes de ransomwares et le Trojan Shylock. Et un autre module principal cette fois (Trojan.Gatak) qui constitue un véritable back door du Trojan qui maintient sa présence sur l’ordinateur et lui permet de dérober les informations.
« Depuis son apparition il y a cinq années, le groupe Gatak a mené une série d’attaques et le Trojan représente une sérieuse menace à toute organisation et particulièrement le secteur de la santé », a dit Symantec. « Gatak nous rappelle que l’usage des logiciels piratés peut compromettre la sécurité en plus de la création de litiges liés au piratage. En plus de l’utilisation de solutions de sécurité robustes, les organisations doivent régulièrement mener des audits sur les logiciels utilisés sur leur réseau et sensibiliser le staff sur le danger du recours aux logiciels piratés et non approuvés. »
Source : Symantec
Et vous ?
Qu'en pensez-vous ?
Répondre avec citation
Partager