+ Répondre à la discussion Actualité déjà publiée
Page 2 sur 2 PremièrePremière 12
  1. #21
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    448
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 448
    Points : 11 101
    Points
    11 101

    Par défaut Une porte dérobée dans un logiciel comptable a permis de propager le wiper NotPetya

    NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire
    Pour propager le malware

    Le 27 juin, une nouvelle cyberattaque a pris par surprise les ordinateurs en Ukraine et du monde entier. Cette attaque s’est appuyée sur le malware Petya, un wiper déguisé en ransomware. Son objectif est de supprimer irrévocablement les données de ses victimes même après le paiement de la rançon de 300 $ demandée.

    Selon la firme de sécurité Eset, des pirates de haut niveau ont compromis avec succès le logiciel de comptabilité M.E.Doc qui est très utilisé en Ukraine pour propager le malware. Les chercheurs en sécurité ont pu trouver une « porte dérobée » injectée par les attaquants dans l’un des modules officiels de M.E.Doc. Les pirates ont eu tout le temps nécessaire pour planifier leur attaque. En effet, le fichier ZvitPublishedObjects.dll contenant la faille a été livré aux utilisateurs de M.E.Doc depuis le 15 mai, soit six semaines avant le début de l’attaque NotPetya. En réalité, au moins trois mises à jour du logiciel avaient été publiées avec la porte dérobée depuis le 14 avril, un constat confirmé par la firme de sécurité Talos. Selon Eset, les pirates auraient eu un accès au code source de M.E.Doc depuis le début d’année.

    « Comme le montre notre analyse, c’est une opération bien planifiée et bien exécutée, » a écrit Anton Cherepanov, chercheur en sécurité senior chez Eset. « Nous pensons que les attaquants ont eu accès au code source de M.E.Doc. Ils ont eu le temps d’étudier le code et incorporer une porte dérobée très furtive et astucieuse. Une installation complète de M.E.Doc a une taille de 1,5 GB et on n’a aucun moyen de vérifier qu’il y a d’autres backdoors qui ont été injectés. »

    La police ukrainienne a saisi mardi les ordinateurs et les logiciels utilisés par Intellect Service, l’entreprise qui développe le logiciel comptable. Une vidéo publiée sur YouTube montre des agents de police lourdement armés en train d’investir les bureaux de l’entreprise et poser des questions aux employés. La police ukrainienne a préconisé à tous les utilisateurs du logiciel d’arrêter son utilisation et d’empêcher tous les ordinateurs avec une version installée de l'application d’accéder à Internet. Les autorités espèrent avec cette mesure contenir la propagation du malware et empêcher une nouvelle diffusion.

    Depuis le début de l’attaque, les développeurs de M.E.Doc ont émis des communiqués contradictoires. Au début, ils ont informé que leurs serveurs ont été compromis, puis l’entreprise a dit qu’elle n’était pas impliquée dans cette attaque avant de déclarer qu’elle coopère désormais avec les enquêteurs. Le colonel Serhiy Demydiuk, le chef de la cyberpolice ukrainienne a informé Associated Press que l’entreprise qui développe le logiciel a une responsabilité pénale dans l’affaire. Il a en effet déclaré que « nous avons un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a pris aucune disposition. En cas de confirmation des informations initiales en notre possession, des poursuites suivront. »

    Sur sa page Facebook, la police ukrainienne a informé être parvenue à empêcher une autre attaque qui aurait dû avoir lieu le 4 juillet. Cette attaque s’appuie également sur le logiciel M.E.Doc comme point de départ. « L'attaque a été arrêtée. Les serveurs ont été retirés et portent des traces de l'impact des cybercriminels, agissant évidemment depuis la Fédération de Russie », a déclaré Arsen Avakov.

    Les chercheurs essaient toujours de savoir comment Notpetya s’est propagé d’un ordinateur à un ordinateur dans les réseaux infectés. Mais dès le début, le mécanisme de mise à jour de M.E.Doc a été soupçonné comme étant l’élément compromis par les pirates pour infecter furtivement les utilisateurs avec le malware.

    NotPetya a utilisé des exploits de Windows développés par la NSA. Les pirates les ont combinés avec des outils pour collecter des mots de passe à partir des ordinateurs infectés et utilisés pour le partage de fichiers dans les réseaux locaux. En conséquence, le malware a pu se propager seul et infecter de nombreuses entreprises et organisations en Ukraine et dans le monde entier. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.

    Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données. Jusqu’à présent, les attaquants ont reçu au moins 13 260 dollars pour fournir une clé de déchiffrement des données.

    Source : Eset

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
    L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres
    Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #22
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    448
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 448
    Points : 11 101
    Points
    11 101

    Par défaut NotPetya : Un groupe de cybercriminels prétend avoir la clé de déchiffrement

    NotPetya : Un groupe de cybercriminels prétend avoir la clé de déchiffrement
    Et la met en vente contre 220 000 euros

    Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.

    Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.

    Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.

    « Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.

    Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.

    L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware

    Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.

    Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.

    L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.

    Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.

    Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.

    Source : Motherboard

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire pour propager le malware
    Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
    L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Lancer un programme, mais sur une autre machine
    Par GOUGOU1 dans le forum Réseau
    Réponses: 12
    Dernier message: 08/12/2002, 20h36
  2. Recuper les items de ListBox d'une autre application [API?]
    Par Shamanisator dans le forum API, COM et SDKs
    Réponses: 3
    Dernier message: 27/09/2002, 12h32
  3. Reprendre une procedure dans une autre ?
    Par Poisson Rouge dans le forum Langage
    Réponses: 3
    Dernier message: 17/07/2002, 22h51
  4. Réponses: 2
    Dernier message: 10/07/2002, 11h51
  5. Réponses: 3
    Dernier message: 09/05/2002, 01h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo