IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 807
    Points
    51 807
    Par défaut GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi
    GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi
    Et cible les services de ressources humaines

    Les cybercriminels ne manquent pas d’imagination pour propager les ransomwares et faire tomber plus de victimes. Cette fois, ils se posent comme des demandeurs d’emploi pour infecter des victimes dans les départements de gestion des ressources humaines de différentes organisations et entreprises. Cette nouvelle campagne sert à propager GoldenEye, un ransomware qui constitue une variante de Petya malgré le fait que ses concepteurs essaient de le faire passer pour un nouveau ransomware. GoldenEye cible donc le services de ressources humaines pour exploiter le fait que les employés de ces services doivent souvent ouvrir des emails et des pièces jointes reçues de sources inconnues. Les pirates envoient même des lettres de motivation afin d’éviter tout soupçon de leurs cibles.

    Les chercheurs de sécurité à Check Point ont surveillé cette campagne et ont observé qu’elle cible pour le moment les Allemands avec des emails contenant un message court du demandeur d’emploi. Bien évidemment afin que le tour soit joué, l’email livre également deux pièces jointes. La première n’est rien d’autre qu’un fichier PDF de la lettre de motivation. Ce fichier n’est pas malicieux en soi et son but est donc mettre en assurance le destinataire. La seconde pièce jointe contient un fichier Excel avec des macros malicieuses. Après son ouverture, l’utilisateur tombe sur une image d’une fleur avec le mot “Loading…” au-dessous et un texte en allemand demandant aux victimes d’autoriser le contenu pour que les macros puissent s’exécuter.

    Nom : petya-1.jpg
Affichages : 5107
Taille : 37,7 Ko
    Une capture d’écran de l'email

    Nom : petya-2.jpg
Affichages : 5138
Taille : 37,6 Ko
    Le fichier PDF contenant la lettre de motivation, il n'est pas malicieux

    Les fichiers Excel sont nommés de la même façon, d'abord le nom du candidat présumé suivi du mot "candidature" en allemand (“Bewerbung”):

    Nom : petya-3.jpg
Affichages : 5325
Taille : 61,0 Ko
    La requête du ficher Excel pour autoriser le contenu et exécuter les macros

    Le processus de chiffrement

    Après que l’utilisateur clique sur le bouton “autoriser la modification”, le code inclus avec la macro s’exécute et initie le processus de chiffrement des fichiers. GoldenEye se charge alors d’ajouter une extension de 8 caractères à chaque fichier chiffré et lorsqu’il finit sa besogne, un message “YOUR_FILES_ARE_ENCRYPTED.TXT” est affiché à l’utilisateur qui se trouve dans l’incapacité d’accéder aux fichiers. Enfin le ransomware force l’ordinateur à redémarrer et commence le chiffrement du disque dur. Cette étape rend impossible l’accès à tout fichier stocké dans le disque dur. Durant le processus de chiffrement du disque de stockage, la victime voit un faux écran “chkdsk”, le même que les autres variantes antérieures de Petya.

    Nom : petya-4.jpg
Affichages : 5037
Taille : 30,8 Ko
    Le faux écran “chkdsk”

    Quand le chiffrement du disque dur est achevé, un autre message est affiché à la victime au démarrage.
    Nom : petya-4.5.jpg
Affichages : 4980
Taille : 46,2 Ko

    Nom : petya-5.jpg
Affichages : 4991
Taille : 55,5 Ko

    La victime reçoit un code personnel (personal decryption code) qu’elle est censée entrer dans un portail du Dark Web afin de payer la rançon. Les cybercriminels derrière cette combine n’ont rien négligé et ont même installé dans le portail une page pour le support où les victimes pourront envoyer des messages à l’administrateur de GoldenEye en cas de problèmes de paiement ou lors du processus de déchiffrement.

    Actuellement, les victimes doivent payer des rançons allant de 1,33 à 1,39 BitCoins (BTC). Il est clair que les pirates derrière GoldenEye cherchent à soutirer un millier de dollars de chaque victime en prenant en compte les variations de la valeur de la monnaie cryptographique.

    Les chercheurs de sécurité ont assumé que GoldenEye constitue une autre variante de Petya, le ransomware développé par un cybercriminel connu sous le pseudonyme Janus. Jusqu’à octobre 2016, il a été l’administrateur du site web “Janus Cybercrime” où Petya a été offert avec un autre ransomware, Mischa, en tant que Ransomware-as-a-Service. Ce service permettait à tout pirate débutant d’avoir les outils nécessaires pour commencer à extorquer de l’argent aux victimes.

    La meilleure défense contre les ransomwares comme GoldenEye est la précaution. Il faut éviter d’exécuter les macros incluses dans les documents de Microsoft Office et être plus vigilant avec le courrier électronique même s’il apparait comme étant complètement banal et inoffensif.

    Source : blog Checkpoint

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 801
    Points
    4 801
    Billets dans le blog
    6
    Par défaut
    Le jour auquel plus personnes n'exécuteras les macros de sources non vérifier on aurais plus ce genre de problème, mais tout le monde s'en fout ! jusqu'à l'infection
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    mars 2006
    Messages
    194
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 194
    Points : 435
    Points
    435
    Par défaut
    Il m'arrive de trouver les pirates presque sympathiques quand ce sont des gens capables qui usent de leur intelligence contre un système impitoyable qui les exclut.
    Mais s'attaquer aux demandeurs d'emploi, c'est quand même cynique.

    Je trouve aussi que les gens sont de plus dépendants de leurs machines. Si une telle aventure m'arrivait, l'idée de payer ne m'effleurerait même pas : mes données précieuses sont sauvegardées sur des disques durs et des DVD. Je profiterais de la mésaventure pour formater et réinstaller un système propre.

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    avril 2008
    Messages
    74
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 74
    Points : 158
    Points
    158
    Par défaut protection du système ?
    une chose me laisse perplexe ...
    comment une macro dans un fichier bureautique peut accéder au système ?
    un problème de sécurité dans la suite office ? dans windows ? les deux ?
    peut-être que cela ne fonctionne qu'avec une compte administrateur ?

    En tout cas, les chanceux qui bossent avec Libreoffice doivent être peinards (pour le moment)

  5. #5
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciel
    Inscrit en
    mai 2010
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur développement logiciel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2010
    Messages : 5
    Points : 12
    Points
    12
    Par défaut
    Citation Envoyé par Francois_C Voir le message
    Il m'arrive de trouver les pirates presque sympathiques quand ce sont des gens capables qui usent de leur intelligence contre un système impitoyable qui les exclut.
    Qu'ils s'étonnent pas d'être exclus s'ils sont malveillants à ce point

Discussions similaires

  1. Réponses: 2
    Dernier message: 26/10/2007, 19h15
  2. Un nouveau qui a besoin d'aide sur MATLAB
    Par bf491499 dans le forum MATLAB
    Réponses: 4
    Dernier message: 26/02/2007, 16h10
  3. Encore un noob qui a besoin d'aide pour les formules
    Par efk pharos dans le forum Formules
    Réponses: 5
    Dernier message: 17/01/2007, 01h46
  4. Débutant qui a besoin d'aide
    Par BerneyBoy dans le forum Langage
    Réponses: 1
    Dernier message: 14/01/2006, 21h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo