G DATA Whitepaper 1er semestre 2011 Malware Report

Transcription

G Data
MalwareReport
Rapport semestriel
Janvier - juin 2011
MalwareReport_1-2011
Ralf Benzmüller & Sabrina Berkenkopf
G Data SecurityLabs
Go safe. Go safer. G Data.
G Data MalwareReport 1/2011
Table des matières
Vue d’ensemble .......................................................................................... 2
Logiciels malveillants : chiffres et données ...................................... 3
La croissance continue ................................................................................................................................................ 3
Catégories de logiciels malveillants ....................................................................................................................... 3
Familles de logiciels malveillants ............................................................................................................................ 4
Plates-formes .................................................................................................................................................................. 7
Tendances 2011............................................................................................................................................................. 8
Logiciels malveillants sur mobiles ....................................................... 9
Événements du premier semestre 2011......................................... 11
Janvier 2011 ................................................................................................................................................................. 11
Février 2011.................................................................................................................................................................. 12
Mars 2011...................................................................................................................................................................... 13
Avril 2011 ...................................................................................................................................................................... 14
Mai 2011 ........................................................................................................................................................................ 15
Juin 2011 ....................................................................................................................................................................... 16
Copyright © 2011 G Data Software AG
1
Vue d’ensemble
•
•
•
•
•
Au cours du premier semestre 2011, 1 245 403 nouveaux types de logiciels malveillants ont été
identifiés, ce qui représente une augmentation de 15,7 % comparée au semestre précédent. Le
nombre moyen de nouveaux programmes malveillants par jour est passé à 6 881.
Parmi les catégories de ces logiciels malveillants, on note une progression très élevée des
chevaux de Troie et des logiciels publicitaires. Le nombre de téléchargeurs et de portes
dérobées est par contre légèrement en régression. Visiblement, l'utilisation d'ordinateurs
contaminés est plus importante que le développement de nouveaux bots.
Au cours du premier semestre 2011, on comptait au total 2 670 familles de logiciels malveillants
en activité.
La part des logiciels malveillants Windows est passée à 99,6 %. Les fichiers programmes
Windows classiques perdent une part de 0,3 %. La perte est toutefois compensée par la
croissance des programmes .NET.
Les programmes malveillants, actifs sur les sites Web et ceux destinés aux appareils mobiles
indiquent une tendance à la hausse.
Tendances
•
•
L'hacktivisme comme expression d'une opinion politique a de plus en plus de sympathisants.
Les programmes malveillants destinés aux appareils mobiles sont à la mode. Le nombre des
nouveaux programmes malveillants augmente rapidement.
Événements
•
•
Cette année, le réseau pirate Rustock a pu être paralysé grâce à une étroite coopération entre la
Digital Crimes Unit de Microsoft et les autorités de police internationales. Le réseau
d'ordinateurs a pu être désactivé en mars : il était responsable de l'envoi de milliards de
pourriels par jour.
Depuis avril, une série de cyberattaques ciblant certains médias vise le groupe japonais Sony,
surtout la console Sony Playstation Network et ses joueurs. Le groupe de hackers présumés
responsables, Anonymous, s'est manifesté plus souvent pendant les semaines suivantes. Les
hackers du groupe LulzSec ont été également plus actifs.
Perspective pour le second semestre 2011
Le nombre de programmes malveillants devrait augmenter au cours du second semestre et plus de
2,5 millions de programmes malveillants devraient être identifiés au cours de l’année 2011cette
année.
Au second semestre, les cybercriminels recourront aussi davantage aux plates-formes mobiles,
Android en particulier, pour orchestrer leurs attaques.
2
Logiciels malveillants : chiffres et données
Une croissance continue
Au cours des six premiers mois de l'année, la progression des programmes malveillants n’a pas été
endiguée. Au premier semestre 2011, le nombre1 des nouveaux programmes malveillants a
augmenté de 15,7 % pour atteindre 1 245 403, ce qui correspond en moyenne à 6 881 nouveaux
programmes malveillants par jour. Nous nous attendons à ce que la barre des 2,5 millions de
nouveaux échantillons soit franchie d'ici la fin de l'année. Si la croissance s’accélèrait, le nombre des
nouveaux programmes malveillants répertoriés en 2011 pourrait dépasser le nombre total des
années 2006 à 2009 réunies.
Graphique 1 : nombre de nouveaux programmes malveillants par an depuis 2006
Catégories de logiciels malveillants
Les logiciels malveillants sont classés en différentes catégories en fonction de leurs activités
malveillantes principales. Le graphique 2 indique le nombre des différentes catégories pour les
derniers semestres. Le groupe des chevaux de Troie présente la plus forte croissance lors du
premier semestre 2011. Il comprend les programmes malveillants caractérisés par des fonctions
nuisibles spécifiques. Ce sont principalement des programmes qui sont chargés sur des ordinateurs
contaminés via des portes dérobées afin d'effectuer des actes répréhensibles. L'envoi de spam, les
attaques par déni de service, les services proxy et les offres similaires provenant du marché parallèle
cybercriminel font partie de ce groupe. Les nombreuses variantes des chevaux de Troie Zeus et
SpyEye en matière de services de banque en ligne sont également reprises dans ce groupe. La
croissance confirme que l'économie clandestine fonctionne parfaitement.
1
Les chiffres du présent compte rendu sont basés sur la détection des logiciels malveillants par les signatures antivirus. Ils reposent sur les
similitudes au niveau du code des fichiers nuisibles. De nombreux codes nuisibles se ressemblent, ils sont donc regroupés par familles qui
connaissent de petites variations. Les fichiers fondamentalement différents sont à la base de familles propres. Les chiffres sont basés sur
les nouvelles variantes de signatures créées au cours du premier semestre 2011.
3
La forte croissance des logiciels publicitaires qui avait marqué le second semestre 2010 a un peu
ralenti. La hausse de 14,6 % démontre toutefois que les logiciels publicitaires continuent de
représenter des affaires lucratives et constitue une activité pour les malfaiteurs.
Le nombre de téléchargeurs/injecteurs est légèrement en recul ; ces derniers sont responsables de
la contamination des ordinateurs. Le nombre des portes dérobées baisse aussi légèrement. Ces
programmes malveillants rendent les ordinateurs administrables à distance et les intègrent dans les
réseaux de bots (botnets). Visiblement, développer de tels nouveaux réseaux ou mettre à jour ceux
existants ne fait plus partie des priorités. Le nombre des Exploits progresse pour la première fois
après une longue période de baisse.
Graphique 2 : nombre de nouveaux programmes malveillants par catégorie au cours des trois derniers semestres
Familles de logiciels malveillants
Les programmes malveillants sont classés en différentes familles selon leurs caractéristiques et leurs
activités. Certaines familles sont très productives et de nouvelles variantes font sans cesse leur
apparition. Le graphique 3 présente les familles les plus productives des derniers semestres. Le
nombre total des familles de programmes malveillants a légèrement augmenté au cours du premier
semestre 2011 (2,4 %) et s'élève maintenant à 2 670.
Genome, un cheval de Troie aux nombreuses fonctions nuisibles, reste le chef de file. FakeAV occupe
la deuxième place. Il appartient à la catégorie des faux programmes de protection antivirus ou de
faux outils système, très populaires auprès des cybercriminels. VBKrypt, un nouveau programme
camouflé avec des fichiers nuisibles, fait partie du groupe de tête. La quatrième version encore plus
puissante des Rootkits (outils de dissimulation d'activité) de la famille TDSS - appelés aussi TDLRootkit - affirme leur suprématie sur le marché de l'économie cybercriminelle. La forte augmentation
des vers de la famille Palevo est responsable de la nette progression de ces programmes. Un petit
nouveau est à l'avant-dernière place. Menti est un cheval de Troie, comme Genome. Les chevaux de
Troie restent ainsi les programmes malveillants les plus appréciés des malfaiteurs.
4
Graphique 3a-c : top 10 des familles de programmes nuisibles les plus actives. Part des nouvelles
variantes 2010 et 2011
5
Genome
Les chevaux de Troie de la famille Genome allient des fonctionnalités telles que le téléchargement,
l’enregistrement de frappe ou le chiffrement des fichiers.
FakeAV
Ce cheval de Troie prétend être un logiciel antivirus ou un autre programme de sécurité. Il simule
l'identification de plusieurs risques de sécurité ou contaminations nuisibles sur le système de
l'utilisateur. L'utilisateur est alors dupé et achète un programme afin de supprimer les fausses
alarmes.
VBKrypt
VBKrypt est un outil permettant de camoufler les fichiers nuisibles. Les scripts de camouflage sont
écrits en Visual Basic. L'éventail des fichiers camouflés est vaste, il comprend les téléchargeurs, les
logiciels espions, les vers ainsi que les portes dérobées.
TDSS
Le Rootkit TDSS et ses fonctions variées, caractérisées par une technique très aboutie, servent à
camoufler les fichiers nuisibles. C'est devenu une norme dans le monde des programmes
malveillants. Il est utilisé pour masquer les fichiers et les entrées de registre des portes dérobées, des
logiciels espions et publicitaires.
Palevo
Le ver Palevo se propage par le biais des supports de données amovibles (autorun.inf) et via des
copies aux noms alléchants sur les sites de téléchargement de poste à poste, tels que Bearshare,
Kazaa, Shareaza, etc. Il propose également des liens vers des sites Web nuisibles via les messageries
instantanées (MSN essentiellement). Il injecte en outre des fonctions de porte dérobée dans
l’Explorateur et recherche des serveurs définis, sur commande.
Buzus
Les chevaux de Troie de la famille Buzus recherchent des données personnelles (cartes de crédit,
opérations bancaires en ligne, accès aux messageries électroniques et aux serveurs FTP) au niveau
du système contaminé de leur victime ; les données sont ensuite transmises à l’auteur de l’attaque.
Ils tentent également d'affaiblir les paramètres de sécurité de l’ordinateur et de rendre le système de
la victime vulnérable.
OnLineGames
Les composants de la famille OnlineGames volent essentiellement les données d’accès à des jeux en
ligne. Pour ce faire, ils recherchent certains fichiers et certaines entrées du registre et/ou installent
un enregistreur de frappe. Dans le dernier cas, le vol ne porte pas uniquement sur les données des
jeux. La plupart des attaques ciblent des jeux populaires en Asie.
FraudLoad
La famille Fraudload comprend les très nombreuses variantes des Scareware qui se présentent à
l'utilisateur comme des programmes de sécurité ou des outils système. Une analyse du système est
simulée sur le système de la victime afin de déceler d'éventuelles contaminations. Afin de les
supprimer, la victime est invitée à acquérir la "version complète" et à fournir ses informations de
cartes de crédit sur un site Web donné. La contamination se produit généralement via des failles de
6
sécurité non résolues du système d'exploitation ou via une application vulnérable de la victime. Il
existe toutefois aussi des méthodes d'attaques qui attirent l'utilisateur sur des sites sous prétexte de
visionner des vidéos prétendument érotiques ou des événements de l'actualité. Afin de consulter
ces soi-disant vidéos, la victime doit installer un codec vidéo spécial qui renferme le programme
malveillant.
Menti
Le cheval de Troie Menti s'infiltre dans le système concerné et se connecte régulièrement à un
serveur. L'ordinateur est alors intégré dans un botnet.
Refroso
Ce cheval de Troie a fait son apparition à la fin du mois de juin 2009. Il possède des fonctions de
porte dérobée et peut attaquer d’autres ordinateurs du réseau.
Plates-formes
Au cours du premier semestre 2011, l'essentiel des programmes malveillants a été écrit pour les
systèmes Windows. Un programme maveillant sur 250 n’est pas destiné à Windows2. La part des
fichiers programmes Windows classiques (Win32) continue de diminuer. La perte de 0,3 % est
toutefois compensée par la croissance des programmes .NET (MSIL).
1
2
3
4
5
6
7
8
Plate-forme
Win32
MSIL
WebScripts
Scripts3
Mobile
Java
*ix4
NSIS5
#2011 S1
1 218 138
21 736
3 123
832
803
313
233
131
%
97,8 %
1,7 %
0,3 %
0,1 %
0,1 %
<0,1 %
<0,1 %
<0,1 %
#2010 S2
1 056 304
15 475
2 237
1 111
55
517
382
130
%
98,1 %
1,4 %
0,2 %
0,1 %
<0,1 %
<0,1 %
<0,1 %
<0,1 %
Diff.
2011S1
2010S2 #2010 S1
+15,3 % 1 001 902
+40,5 %
9 383
+39,6 %
3 942
-25,1 %
922
+138,2 %
212
-39,5 %
225
-39,0 %
226
+0,8 %
260
%
98,5 %
0,9 %
0,4 %
0,1 %
<0,1 %
<0,1 %
<0,1 %
<0,1 %
Diff.
2011 S1
2010 S1
+21,6 %
+131,7 %
-20,8 %
-9,8 %
+273,1 %
+39,1 %
+3,1 %
-49,6 %
Tableau 1 : top 8 des plates-formes au cours des trois derniers semestres
Les quelques 0,5 % résiduels sont le fait de codes Web malveillants dont le nombre a nettement
augmenté. En revanche, le nombre des programmes malveillants basés sur des scripts a diminué.
Les programmes malveillants destinés aux appareils mobiles enregistrent une croissance marquée.
Le type des fonctions nuisibles révèle une utilisation commerciale marquée - environ deux
programmes malveillants pour Smartphone sur trois envoient des SMS à des numéros d'appel
surtaxés. Les programmes espions et les portes dérobées ont nettement progressé. Les
cybercriminels sont en train de développer un nouveau domaine d’application qui sera observé au
cours des prochains mois au sein du G Data SecurityLabs.
2
Total des fichiers programmes pour systèmes Windows 32 bits et 64 bits et des programmes .NET (MSIL).
Les "scripts" sont des scripts Batch ou Shell ou des programmes rédigés en langage VBS, Perl, Python ou Ruby.
4
*ix désigne tous les dérivés Unix, tels que Linux, FreeBSD, Solaris, etc.
5
NSIS est la plate-forme d’installation notamment utilisée pour installer le lecteur multimédia Winamp.
3
7
Tendances 2011
Le tableau suivant retrace l'évolution attendue des différentes catégories des programmes
malveillants et des plates-formes.
Catégorie
Tendance
Chevaux de Troie
Portes dérobées
Téléchargeurs/Injecteurs
Logiciels espions
Logiciels publicitaires
Virus/Vers
Rootkits (outils de
dissimulation d'activité)
Exploits
Win32
Scripts web
Java
MSIL
Mobile
*ix
Tableau 2 : évolution attendue des catégories de programmes malveillants et des plates-formes
8
Logiciels malveillants sur mobiles
Les appareils mobiles sous système d'exploitation Android gagnent en popularité. Les analystes de
chez IDC ont qualifié Android de futur "King of the Hill". Sa popularité croissante intéresse aussi les
auteurs de programmes malveillants destinés à cette plate-forme. G Data prévoit en conséquence
un potentiel élevé de risques pour les appareils mobiles. L'évolution des programmes malveillants
mobiles pourrait être plus rapide que celles des programmes malveillants destinés aux ordinateurs
de bureau, car les structures d'exploitation sont déjà en place : les programmes malveillants pour
mobile n'en sont déjà plus leurs balbutiements. La découverte d'applications contaminées par du
code nuisible sur Google Android Market a par exemple déjà fait la une des médias.
Les possibilités croissantes des smartphones impliquent une popularité de plus en plus importante.
Les utilisateurs sont par exemple très nombreux à utiliser ces appareils pour des services de
paiement et deviennent en conséquence très séduisants pour les cybercriminels. Les numéros SMS
surtaxés constituent aussi une autre possibilité de profit rapide. Ces nouvelles possibilités sont déjà
utilisées de manière intensive par les cybercriminels : plus de deux tiers de tous les programmes
malveillants mobiles envoient des SMS surtaxés. Le nombre des portes dérobées, permettant
l'intégration de smartphones dans des botnets augmente également. Spécialisé dans les opérations
bancaires en ligne, Zeus in the Mobile (ZITMO) est un cheval de Troie qui a recours au processus
mTAN. À l'origine, l'envoi d'un numéro de transaction par SMS était censé offrir une sécurité
supplémentaire grâce à la séparation des canaux. Étant donné que ZITMO intercepte le SMS avec le
numéro de transaction, la sécurité du processus n'est plus garantie.
Une des raisons du succès de la plate-forme Android est d’être en partie moins chère que les
produits sous iOS et d’offrir une plus grande diversité d'appareils. Mais cette diversité a un revers :
elle rend le contrôle qualité très difficile et complique la diffusion des mises à jour, qui ne peuvent
pas toujours être effectuées à temps pour tous les clients. En outre, les anciens modèles de
téléphones ne permettent pas souvent la mise à jour. Ainsi, début juillet, le pourcentage de clients
de la boutique Android Market encore en possession d'une ancienne version Android OS, était très
élevé (voir illustration 1). La distribution des mises à jour aux fabricants d’appareils, aux fournisseurs
de service et aux clients finaux prend du temps. Un délai que les cybercriminels mettent à profit
pour exploiter les failles de ses systèmes d'exploitation. Le décalage n'est pas de l'ordre de quelques
jours, mais de plusieurs mois. Cette lacune sera de plus en plus surveillée à l'avenir par les
cybercriminels.
9
Illustration 1 : répartition des plates-formes Android des visiteurs de la boutique Android
(source : http://developer.android.com/resources/dashboard/platform-versions.html)
En dehors des risques matériels, le facteur
humain ne doit pas être non plus sous-estimé :
les demandes d'autorisation affichées lors de
l'installation sont confirmées rapidement, sans
réelle attention. Les applications peuvent ainsi
recueillir des informations, envoyer des SMS,
etc. Les applications manipulées de Zsone sur
la boutique Google Android Market en sont un
exemple. Ces applis qui ciblent pour l’instant
seulement les utilisateurs chinois, envoient à
l'insu de l'utilisateur des demandes
d'abonnement pour des numéros SMS
surtaxés. L'utilisateur ne voit pas les SMS mais
Illustration 2 : une application contaminée de Zsone
constate les dégâts en recevant sa facture.
s'octroie de nombreuses autorisations sur le téléphone
portable, pouvant être préjudiciables à l'utilisateur.
(Source : G Data Software)
Conclusion
Les appareils mobiles attirent de plus en plus l'attention des cybercriminels, ce qui génère la
prolifération de nouveaux programmes malveillants, dont les pirates peuvent tirer toujours plus de
profits. La hausse des chiffres de vente des appareils Android rend ce marché de plus en plus
intéressant pour l'économie clandestine.
Et les possibilités d'utilisation pour les Smartphones étant loin d'être épuisées, les nouvelles
technologies seront toujours autant de nouvelles cibles d'attaque - le paiement avec smartphone
par NFC (déployé sous Android depuis la version 2.3) en est un exemple.
10
Événements du premier semestre 2011
Janvier 201
1
09/01. L'entreprise de communication australienne Fairfax accuse Vodafone de ne pas assez
protéger les données de ses clients dans les bases de données de sorte que ces données
peuvent être vues par de nombreuses personnes, entre autres par tous les revendeurs
Vodafone. Ainsi, les informations personnelles telles que les protocoles d'appels et de SMS
sont susceptibles de tomber entre les mains de tiers, qui peuvent alors visualiser les données
lors d'un processus "pay per view". La découverte de ce piratage est postérieure à l'affaire
"Wikileaks/Cablegate".
11/01 Les comptes Twitter et YouTube du gouvernement
nord-coréen sont piratés et détournés par des
inconnus. Lors de l'anniversaire de Kim Jong-un, le
successeur désigné de Kim Jong-il, les hackers
répandent sur les comptes des messages hostiles au
régime. En outre, les pirates publient une vidéo
animée qui le montre à bord d'une voiture de sport,
roulant sur des personnes dans le besoin. Les
Capture d'écran 1: une vidéo animée montre
membres du forum Internet sud-coréen DC Inside ont Kim Jong-un (source : YouTube.com)
revendiqué cette attaque.
16/01 L'Office fédéral allemand de la police criminelle appréhende une bande bulgare qui avait
utilisé la technique du skimming pour pirater des distributeurs automatiques de billets à
Dresde. Les trois hommes sont pris sur le fait dans une filiale de la banque alors qu'ils sont en
train de préparer leur matériel. Le montant du butin n'a pas été rendu public.
23/01 Les comptes Facebook du président français Nicolas Sarkozy et du directeur de Facebook
Mark Zuckerberg sont compromis. Les pirates publient sur les deux comptes des
commentaires apparemment plausibles au nom des deux hommes. Il n'a pas été possible de
préciser avec certitude la manière dont les malfaiteurs ont pu obtenir les autorisations
d'accès en écriture.
24/01 L'Iran annonce l'instauration d'une cyberpolice censée empêcher, entre autres, la
communication entre les dissidents politiques, surtout via les réseaux sociaux. Suite aux
protestations à propos de la réélection du président Mahmoud Ahmadinejad en 2009, le
chef de la police Esmail Ahmadi Moghadam indique : "des groupes antirévolutionnaires et
des dissidents ont pu contacter, grâce aux réseaux sociaux dans notre pays, des personnes
à l'étranger et provoquer des troubles."
31/01. Phénomène insolite : l'ordinateur portable volé d'une
Américaine de 25 ans envoie tout seul des mails et facilite
ainsi le travail d'investigation de la police de Newport
(Virginie). L'appareil prend des photos à l'aide de la
webcam et les envoie à la propriétaire. Les deux
personnes ayant été identifiées sur la photo publiée par la
Capture d'écran 2: photo prise avec
la webcam du portable volé 11
(source : wavy.com)
police doivent maintenant expliquer la manière dont elles ont acquis l'ordinateur portable.
Février 2011
05/02. Aaron Barr, collaborateur de la société de sécurité informatique HBGary Federal, déclenche
sur son employeur une attaque étendue à plusieurs niveaux par le groupe Anonymous. Il
s'était au préalable vanté d'avoir identifié les membres du collectif d'hacktivistes
Anonymous, qui avaient orchestré peu de temps auparavant l’opération Payback. Le New
York Times évoque l’affaire et cette publicité incite les accusés à riposter. Profitant d’un
enchaînement d’erreurs censées ne pas se produire dans une entreprise de sécurité, le
collectif Anonymous subtilise les mots de passe des employés de la société HBGary et
accède ainsi au compte Google-Mail de Greg Hoglund, le cofondateur et directeur technique
de la société. Outre des informations explosives sur les commandes d’équipements, le
groupe a aussi obtenu les données d'accès du site de Hoglund rootkit.com. Anonymous
publie les données disponibles sur ce site ainsi que les mails de Hoglund. Le « coup de
maître’ »d'Aaron Barr lui a finalement valu de démissionner.
07/02. La police de Hambourg appréhende deux exploitants présumés de sites Internet par
abonnement. Depuis la fin 2008, ces deux personnes avaient escroqué plus de 65 000
visiteurs de ces sites Internet et encaissé presque 5 millions d'euros. Les escrocs proposaient
toujours de télécharger un logiciel libre ou gratuit en version test et les visiteurs
souscrivaient alors à leur insu des contrats d'abonnement.
09/02. Un utilitaire "Tinie App", vendu pour 25 USD environ, circule de manière clandestine et
permet à pratiquement n'importe qui de concevoir sa propre appli nuisible pour
Facebook, comme "Profile Creeps" ou "Creeper Tracker". Les utilisateurs sont encore
nombreux à exécuter de telles applications sur Facebook et contribuent ainsi à leur
propagation - à la grande joie des développeurs qui gagnent de l'argent à chaque clic grâce
à des programmes d’affiliation
correspondants.
12/02. Les départements américains de la Justice
et de la Sécurité intérieure ont commis une
bévue en installant une bannière sur 84 000
domaines, énonçant les peines encourues par
les personnes en contact avec la
pédopornographie. En raison d'une erreur de
transmission des données, tous les domaines
du fournisseur DNS FreeDNS ont été redirigés
vers la bannière, au grand dam des
Capture d’écran 3 : la bannière affichée
internautes et propriétaires des sites Web.
erronément sur 84 000 domaines
(source : torrentfreak.com)
13/02. Les données clients de millions d'utilisateurs
des sites Pixmania, Eidos, eHarmony et diversitybusiness sont utilisées de manière
clandestine. Certains enregistrements sont proposés à des prix compris entre 2 000 et 3
000 USD (1 400 à 2 100 EUR environ). L'Argentin Chris Russo serait potentiellement
12
responsable de ce recel de données. Pour le site eHarmony, les données ont été subtilisées
en exploitant une faille de type SQL Injection.
15/02. Un code nuisible est injecté sur les sites Internet BBC 6 Music Web et BBC 1xtra Radio à la
suite d’une contamination massive de sites Web vulnérables. Le code inséré copie les
fichiers d'un site Web et essaie de contaminer le visiteur du site Web à son insu (infection
Drive-by). Les attaquants utilisent un Phoenix Exploit Kit afin d'exploiter les failles sur
l'ordinateur.
17/02. Une étude indique que le Royaume-Uni subit des dommages annuels à hauteur de 27
milliards de GBP (environ 30,7 milliards d'euros) en raison de la cybercriminalité. Le vol de
propriété intellectuelle représente la part la plus importante des malversations, l'espionnage
industriel et le chantage viennent ensuite.
28/02. Phénomène insolite : un homme de 48 ans de Naperville (Illinois) est victime d'une
connaissance malhonnête rencontrée en ligne. En deux ans, il a transféré, à un contact
féminin supposé, près de 200 000 USD (env. 139 000 EUR) sur des comptes en Angleterre,
aux USA, en Malaisie et au Nigéria. Lorsqu'elle a cessé de lui envoyer des nouvelles, il a craint
qu'elle ait été kidnappée et a contacté la police. Mais cette dernière lui a expliqué qu'il avait
été dupé. Même le permis de conduire que la dame lui avait envoyé était faux. C'était un
permis modèle de l’État de Floride.
Mars 2011
05/03. Google annonce officiellement la suppression, le mardi précédent,
d’un grand nombre d'applications sur la boutique Android Market.
Les applications étaient contaminées par le code nuisible
DroidDream, qui tente notamment d'accéder au répertoire racine
dans les appareils mobiles concernés. Google a désinstallé à distance
les programmes nuisibles sur les appareils concernés. L'entreprise
publie un correctif "Android Market Security Tool March 2011" dont
une version portant le même nom et diffusée sur certains sites
s’avérera ultérieurement contaminé par un cheval de Troie.
06/03. À la faveur d'une attaque de la centrale de la
sûreté de l’État égyptien, des opposants au
régime trouvent des documents de la
société britannique Gamma International,
qui proposait au gouvernement d'acheter un
programme espion, dénommé FinFisher.
Le logiciel malveillant était conçu pour
espionner, réaliser des écoutes et se rendre
maître des ordinateurs des dissidents ; il était
proposé au prix de 525 000 USD (env. 364
000 EUR), formations incluses.
16/03. Une année après le démantèlement du
source : android.com
Illustration 3 : le graphique indique un net recul des
envois de messages depuis la mi-mars (source :
Spamcop.net)
13
botnet Waledac, Microsoft publie à nouveau un rapport sur la désactivation efficace d'un
botnet, l'un des plus importants au monde, dénommé Rustock. Le service Microsoft Digital
Crimes Unit (DCU) estime qu'un million d'ordinateurs environ avaient été contaminés par le
code nuisible Rustock et que le botnet avait envoyé des milliards de pourriels par jour.
17/03. Les pirates s’en prennent aux serveurs de la société de sécurité RSA et volent des données
permettant une authentification à deux facteurs SecurID. L'attaque, appelée Advanced
Persistent Threat, a précisément lieu par le biais de fichiers Excel manipulés, envoyés à un
petit groupe d'employés de la société RSA. À l'ouverture des fichiers .xls, le code nuisible
profite d'une faille de sécurité de type Zero-Day pour obtenir un accès aux comptes
privilégiés des utilisateurs.
18/03. Ashley Mitchell, 29 ans, est condamné à deux ans de prison pour le recel de 400 milliards de
jetons virtuels de poker, d'une valeur de 12 millions USD (env. 8,4 millions EUR) à la société
américaine Zynga. Zynga exploite entre autres le jeu en ligne mondialement connu
Farmville. Mitchell a vendu une partie de son butin au marché noir pour 53 000 GBP (env. 60
000 EUR).
20/03. La plate-forme TripAdvisor est victime d'un vol de données. Les criminels attaquent le
célèbre site de voyage et volent les adresses mail de ses membres, enregistrées dans une
base de données. TripAdvisor pallie immédiatement la faille et conclut à des dégâts peu
importants. Un mail envoyé aux membres précise : "Vous risquez de recevoir du courrier
indésirable à la suite de cet incident."
23/03. Des attaquants inconnus accèdent aux certificats SLL de sites Web existants, en piratant
l'autorité de certification Comodo (Canada) avec un compte compromis. Les certificats volés
le 15 mars sont utilisés pour contrefaire les sites Web. Comodo indique dans un rapport que
les "attaques provenaient de plusieurs IP, principalement de l'Iran".
Avril 2011
04/04. Les modalités d'une énorme attaque en masse grâce à une faille de type SQL Injection
sont rendues publiques. L'attaque, appelée Lizamoon, injecte un code nuisible sur des
millions de sites Web. Le nettoyage des sites touchés est difficile. Les visiteurs du véritable
site Web ont été redirigés vers le site Internet FakeAV pour permettre à des personnes
malintentionnées de gagner de l'argent.
08/04. Phénomène insolite : un éditeur logiciel publie une offre d'emploi pour recruter des
programmatrices et des commerciales. Conditions requises : les postulantes doivent être
âgées de 20 à 39 ans et être disposées à travailler non vêtues. L'exploitant, 63 ans, promet
des offres d'emploi sérieuses au sein d'une entreprise sérieuse.
20/04. L'agence de sécurité américaine prévoit de publier à l'avenir ses alertes nationales
antiterrorisme non seulement sur son propre site, à la télévision et à la radio, mais
également sur les réseaux sociaux comme Facebook et Twitter. Les annonces effectuées
dans les aéroports et celles publiées sur les sites Web du gouvernement n’auront plus lieu
d’être.
14
24/04. En Russie, les forces de sécurité libèrent le fils de 20 ans du développeur de logiciels de
sécurité Eugene Kaspersky sain et sauf des griffes de ses cinq ravisseurs. Selon ses propres
dires, aucune rançon n'a été versée. Les kidnappeurs réclamaient 3 millions d'euros.
27/04. Le premier client de la PlayStation Sony dépose plainte contre Sony Corp. en raison d'une
protection insuffisante des données personnelles. Entre le 17 et le 19/04, les pirates ont
attaqué les services en ligne Sony PlayStationNetwork (PSN) et Qriocity pour mettre la main
sur 77 millions de données d'utilisateurs.
Mai 2011
10/05. La police finlandaise démantèle une bande d'escrocs spécialisés dans les opérations
bancaires en ligne et arrête 17 suspects. Les clients de la banque finlandaise Nordea étaient
la cible des criminels qui ont empoché 1,2 million d'euros à la faveur de plus de 100
transactions frauduleuses. À l'exception de 178 000 euros, l'argent a pu être restitué à leurs
propriétaires.
11.05. L'annonce de la mort d'Oussama Ben Laden donne aux
auteurs de programmes malveillants l'idée de duper les
utilisateurs en diffusant les soi-disant photos des
preuves. Les vecteurs d'attaque les plus spectaculaires
sont dans ce cas les e-mails contenant des liens avec un
code nuisible et des documents Word manipulés pour
exploiter une faille de sécurité (CVE-2010-3333).
Capture d'écran 4 : Spam à
11/05. Le site Web de l'agence de communication russe
propos d'Oussama Ben Laden.
Pravda est piraté et s’en prend à son insu à ses visiteurs.
Les criminels utilisent des scripts d'exploit intégrés,
qui attaquent la version Java vulnérable sur les ordinateurs des visiteurs du site Web. Les
pirates n'ont pas modifié le visuel du site Web, ce qui permet une attaque imperceptible.
20/05. Le chercheur indépendant en matière de sécurité, Rosario, présente un exploit pour
Microsoft Internet Explorer qui permet aux pirates d'avoir accès aux sites Web nécessitant
l'ouverture d'une session comme Facebook. Après saisie des données de connexion, le site
Web crée un cookie comme clé numérique. Si ce cookie est volé, des tiers peuvent
également avoir accès aux pages normalement protégées. L'attaque est baptisée
"Cookiejacking".
23/05. Le code source complet du cheval de Troie des services bancaires en ligne ZeuS est craqué.
ZeuS a été incontestablement le cheval de Troie des services bancaires le plus puissant de
ces dernières années.
25/05. Un thésard de l'université d'Amsterdam alimente une base de données avec 35 millions
d'enregistrements de profils Google. Celle-ci contient des noms, des adresses e-mail et
des informations biographiques. La collecte d’informations est en réalité une expérience
pour mesurer la rapidité avec laquelle les détectives privés et les hameçonneurs par exemple
peuvent se procurer de manière ciblée des informations personnelles. Google n'interdit pas
l'indexation des listes.
15
26/05. L'armée chinoise confirme pour la première fois l’existence en son sein d’une unité d'élite
de cybersoldats. Les forces spéciales sont appelées "Cyber Blue Team". Nous ignorons s'il
s'agit de pures mesures de défense ou de forces potentiellement offensives.
Juin 2011
03/06. Après les attaques sur les services en ligne Sony PSN et Qirocity, la plate-forme de Sony
Pictures est piratée. Un groupe du nom Lulz Security, en abrégé LulzSec, en est le
responsable. Selon ses propres indications, il a volé les informations personnelles de plus
d’un million d'utilisateurs.
04/06. L'unité DCU de Microsoft s’emploie toujours à tenter de démasquer les responsables du
botnet Rustock démantelé au mois de mars. L'unité DCU suppose que les responsables
ont opéré en Russie et y opèrent encore. Ils publient donc pendant 30 jours des annonces
dans des quotidiens populaires russes pour entrer en contact avec les propriétaires des
adresses IP et domaines désactivés.
07/06. La société d'armement Lockheed Martin annonce qu'une attaque a eu lieu récemment sur
son réseau. Elle a été rendue possible par le jeton RSA SecurID, volé en mars. Un vol des
données a été empêché par leur intervention rapide. La société est en train de remplacer
45 000 jetons SecureID.
20.06. La devise virtuelle Bitcoin est confrontée à une chute de son cours sur la plate-forme
d'échanges Mt Gox. Un inconnu a piraté un compte Bitcoin essentiel (7,7 % de tous les
Bitcoins), a remplacé l'argent virtuel en dollar US puis l'a reconverti peu de temps après. Le
cours est passé de 17,50 USD par Bitcoin à un cent par Bitcoin.
26.06. 50 jours après, le groupe de hackers LulzSec publie sa solution. Le groupe poursuivi par la
police est accusé de nombreuses attaques de piratage et de déni de services sur les sites
web des dernières semaines. LulzSec publie sur Internet de nombreux enregistrements
capturés. Les experts considèrent LulzSec comme le successeur du groupe Anonymous.
29/06. Le réseau social MySpace est vendu. Le magnat des médias Rupert Murdoch avait acheté
la plate-forme en 2005 pour 580 millions USD (env. 403 millions EUR) et la revend à une
société publicitaire californienne avec une perte élevée pour 35 millions USD (env. 24
millions EUR). Le nombre des utilisateurs de MySpace est en recul en raison de l'essor de
Facebook.
30/06. Le BKA présente les statistiques criminelles allemandes de 2010 : l'an passé, on a
enregistré environ 250 000 cas de malversations sur Internet. Par rapport à 2009, cela
représente une augmentation de ces délits d'environ 20 %. Le montant des dommages
s'élève à 61,5 millions d'euros environ.
16

G DATA Whitepaper 1er semestre 2011 Malware Report

Transcription

Documents pareils

Proactive Protection TechNote

Livre Blanc - Tendances 2007 et perspectives 2008

Kaspersky Monthly Malware Statistics Draft April12 FR

2010 06 FR GData Malware Report

Bulletin semestriel de janvier à juin 2009

28.00 € TTC - i

AVG Anti-Virus et Internet Security

Copyright - Droits d`Auteur

rapport sur les menaces - F

Check Point étend sa solution SandBlast™ Zero

Kaspersky Analysis Aperçu de l activité virale en juin 2011

Oeuvres complètes