Discussion :

[Coriolan]

GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi
Et cible les services de ressources humaines

Les cybercriminels ne manquent pas d’imagination pour propager les ransomwares et faire tomber plus de victimes. Cette fois, ils se posent comme des demandeurs d’emploi pour infecter des victimes dans les départements de gestion des ressources humaines de différentes organisations et entreprises. Cette nouvelle campagne sert à propager GoldenEye, un ransomware qui constitue une variante de Petya malgré le fait que ses concepteurs essaient de le faire passer pour un nouveau ransomware. GoldenEye cible donc le services de ressources humaines pour exploiter le fait que les employés de ces services doivent souvent ouvrir des emails et des pièces jointes reçues de sources inconnues. Les pirates envoient même des lettres de motivation afin d’éviter tout soupçon de leurs cibles.

Les chercheurs de sécurité à Check Point ont surveillé cette campagne et ont observé qu’elle cible pour le moment les Allemands avec des emails contenant un message court du demandeur d’emploi. Bien évidemment afin que le tour soit joué, l’email livre également deux pièces jointes. La première n’est rien d’autre qu’un fichier PDF de la lettre de motivation. Ce fichier n’est pas malicieux en soi et son but est donc mettre en assurance le destinataire. La seconde pièce jointe contient un fichier Excel avec des macros malicieuses. Après son ouverture, l’utilisateur tombe sur une image d’une fleur avec le mot “Loading…” au-dessous et un texte en allemand demandant aux victimes d’autoriser le contenu pour que les macros puissent s’exécuter.

Une capture d’écran de l'email


Le fichier PDF contenant la lettre de motivation, il n'est pas malicieux

Les fichiers Excel sont nommés de la même façon, d'abord le nom du candidat présumé suivi du mot "candidature" en allemand (“Bewerbung”):

La requête du ficher Excel pour autoriser le contenu et exécuter les macros

Le processus de chiffrement

Après que l’utilisateur clique sur le bouton “autoriser la modification”, le code inclus avec la macro s’exécute et initie le processus de chiffrement des fichiers. GoldenEye se charge alors d’ajouter une extension de 8 caractères à chaque fichier chiffré et lorsqu’il finit sa besogne, un message “YOUR_FILES_ARE_ENCRYPTED.TXT” est affiché à l’utilisateur qui se trouve dans l’incapacité d’accéder aux fichiers. Enfin le ransomware force l’ordinateur à redémarrer et commence le chiffrement du disque dur. Cette étape rend impossible l’accès à tout fichier stocké dans le disque dur. Durant le processus de chiffrement du disque de stockage, la victime voit un faux écran “chkdsk”, le même que les autres variantes antérieures de Petya.

Le faux écran “chkdsk”

Quand le chiffrement du disque dur est achevé, un autre message est affiché à la victime au démarrage.

La victime reçoit un code personnel (personal decryption code) qu’elle est censée entrer dans un portail du Dark Web afin de payer la rançon. Les cybercriminels derrière cette combine n’ont rien négligé et ont même installé dans le portail une page pour le support où les victimes pourront envoyer des messages à l’administrateur de GoldenEye en cas de problèmes de paiement ou lors du processus de déchiffrement.

Actuellement, les victimes doivent payer des rançons allant de 1,33 à 1,39 BitCoins (BTC). Il est clair que les pirates derrière GoldenEye cherchent à soutirer un millier de dollars de chaque victime en prenant en compte les variations de la valeur de la monnaie cryptographique.

Les chercheurs de sécurité ont assumé que GoldenEye constitue une autre variante de Petya, le ransomware développé par un cybercriminel connu sous le pseudonyme Janus. Jusqu’à octobre 2016, il a été l’administrateur du site web “Janus Cybercrime” où Petya a été offert avec un autre ransomware, Mischa, en tant que Ransomware-as-a-Service. Ce service permettait à tout pirate débutant d’avoir les outils nécessaires pour commencer à extorquer de l’argent aux victimes.

La meilleure défense contre les ransomwares comme GoldenEye est la précaution. Il faut éviter d’exécuter les macros incluses dans les documents de Microsoft Office et être plus vigilant avec le courrier électronique même s’il apparait comme étant complètement banal et inoffensif.

Source : blog Checkpoint

Et vous ?

Qu'en pensez-vous ?

[TiranusKBX]

Le jour auquel plus personnes n'exécuteras les macros de sources non vérifier on aurais plus ce genre de problème, mais tout le monde s'en fout ! jusqu'à l'infection

[Francois_C]

Il m'arrive de trouver les pirates presque sympathiques quand ce sont des gens capables qui usent de leur intelligence contre un système impitoyable qui les exclut.
Mais s'attaquer aux demandeurs d'emploi, c'est quand même cynique.

Je trouve aussi que les gens sont de plus dépendants de leurs machines. Si une telle aventure m'arrivait, l'idée de payer ne m'effleurerait même pas : mes données précieuses sont sauvegardées sur des disques durs et des DVD. Je profiterais de la mésaventure pour formater et réinstaller un système propre.

[gencoforlife]

Il m'arrive de trouver les pirates presque sympathiques quand ce sont des gens capables qui usent de leur intelligence contre un système impitoyable qui les exclut.

Qu'ils s'étonnent pas d'être exclus s'ils sont malveillants à ce point

[papy88140]

une chose me laisse perplexe ...
comment une macro dans un fichier bureautique peut accéder au système ?
un problème de sécurité dans la suite office ? dans windows ? les deux ?
peut-être que cela ne fonctionne qu'avec une compte administrateur ?

En tout cas, les chanceux qui bossent avec Libreoffice doivent être peinards (pour le moment)