Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Pensez global, agissez local

Lu par: 1552 Commentaires: 4 Cote de popularité: 8

"Attention ! Lorsque le logiciel de comptabilité M.E.Doc se met à jour, un ransomware à chiffrement s’y insère et chiffre les données».

Il semble que tout soit très clair : un site a été infecté et il héberge désormais un malware, ou bien une attaque de « l’homme du milieu » (« man-in-the-middle ») a été perpétrée, ou bien encore, un employé a pris sa revanche sur ses collègues. En réalité, ce n’est pas aussi simple. Tentons de comprendre ce qui se passe ici.

Des centaines de systèmes ont été infectés, et 96% d’entre eux appartenaient à des sociétés ukrainiennes.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

https://ain.ua/2017/05/22/ukraincev-atakuet-novyj-virus-xdata

Les descriptions de malwares indiquent parfois qu’un logiciel ne fonctionne pas sur les machines de certains pays. Et beaucoup pensent que c’est parce que les pirates ont décidé d’épargner ces pays. Mais ce n’est pas vrai.

  1. Les malwares sont souvent utilisés pour aider les criminels à convertir de l’argent obtenu illégalement en cash. Comment et où parviennent-ils à trouver des « passeurs » (des gens qui prendront l’argent volé)?
  2. Toutes les transactions impliquant des banques étrangères sont généralement rigoureusement contrôlées par les agences gouvernementales du pays luttant contre la corruption et le blanchiment d’argent.
  3. Cependant, une investigation impliquant des organisations d’autres pays requiert une coordination avec les services de sécurité des états respectifs et prend plus de temps que d’attraper les criminels sur son territoire.
  4. En réduisant le nombre de pays dans lesquels un malware sera opérationnel, les criminels réduisent également la probabilité qu’il soit détecté. Si, de plus, le malware cible seulement une catégorie d’ordinateurs, le risque de détection baissera encore et les médias seront moins enclins à s’intéresser aux incidents liés à ce malware.

Dans notre cas, toutes les machines ciblées étaient utilisées par des comptables, ce qui signifie que le Cheval de Troie cible ce secteur.

#drweb

Ce message a été laisse sur le disque dur après le chiffrement des données.

Il est également intéressant d’analyser comment la technique de propagation d’un malware influe sur sa popularité dans les médias.

135 infections ont été enregistrées à partir du 19 mai 2017 et 95% d’entre elles impliquaient des ordinateurs ukrainiens. Dans le même temps, d’après MalwareHunter, seuls 30 incidents impliquant WannaCry étaient à déplorer en Russie, alors que le malware sera parvenu à toucher 200 000 hôtes dans le monde entier. Ceci signifie que le taux de diffusion de XData a été quatre fois supérieur.

Quatre fois plus d’infections, et pas de panique dans les médias ? Il y a une raison à cela. WannaCry (Trojan.Encoder.11432) a prioritairement ciblé les grandes entreprises et non les petites et moyennes.

De nombreux malwares sont destinés à « fonctionner » dans des banques localisées dans un seul pays, celui dans lequel les criminels pourront écouler l’argent sale. Evidemment, il existe des malwares qui vont, par exemple, cibler les utilisateurs chinois en Russie, mais ils ne seront d’aucune utilité pour le business de blanchiment d’argent dès lors qu’ils attireront l’attention sur eux.

Les informations sur le malware ont commencé à émerger le 18 mai 2017, le lendemain de la publication de la mise à jour de M.E.Doc. Ce jour-là, les comptables, en Ukraine, ont installé la dernière mise à jour. Ainsi, le logiciel M.E.Doc était corrompu sur les machines infectées par XData. Cette coïncidence a laissé penser qu’un lien existait entre l’activité du malware et le logiciel.

http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

“Aucune mise à jour pour M.E.Doc n’était disponible. La veille, la machine fonctionnait et le lendemain, elle n’a pas démarré », racontait l’administrateur d’une entreprise dont les machines ont été infectées.

"No updates for M.E.Doc were available. Last night the machine was operational, but in the morning it didn't boot up", reported an administrator at a company whose machines were compromised.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Peut-être qu’un bon timing a permis à cette attaque de si bien fonctionner. Si une mise à jour pour un logiciel très utilisé est publiée, elle sera alors installée sur de très nombreuses machines, et l’activité d’un autre logiciel pourra alors passer inaperçue. Intelligent!

Mais la question la plus importante concernant le Cheval de Troie est la suivante : comment se diffuse-t-il ? Comment parvient-il exactement à se faufiler dans un système et à rester invisible?

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Un manque de contrôle des événements dans un réseau local est un des problèmes majeurs de sécurité. Résultat, non seulement la pénétration du malware sur le réseau reste invisible, mais les modules qui ont permis l’intrusion ne sont pas non plus détectés.

Dr.Web recommande :

  1. Mettez à jour votre antivirus avant de mettre à jour tout autre logiciel
  2. Les utilisateurs ne devraient pas être autorisés à télécharger des fichiers exécutables.
  3. Les permissions utilisateur doivent être retreintes. Ceci réduira le risque de perte de données. Seuls certains utilisateurs devraient pouvoir lancer des logiciels.
  4. Si vous n’utilisez pas les macros, désactivez cette fonction dans vos documents
  5. Si vous ne pouvez pas allouer des ordinateurs différents pour la comptabilité et pour la consultation des emails et d’Internet, utilisez des machines virtuelles.
  6. Une routine de validation des contacts devrait être disponible pour les équipes du service comptabilité afin qu’aucun rappel reçu de la part d’expéditeurs inconnus ne soient ouverts sans validation.
  7. Les fichiers importants de la base de données et d’autres données importantes doivent être sauvegardées sur d’autres machines régulièrement.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs