Rapport sur les Menaces H2 2014 - F
Transcription
Rapport sur les Menaces H2 2014 - F
RAPPORT SUR LES MENACES 2 semestre 2014 d 1 table des matières 2 table des matières résumé avant-propos à noter article Calendrier des incidents Synthèse sur le paysage des menaces MENACES MOBILES malware sur Mac SOURCES 3 5 6 16 4 8 14 15 10 Page 8 2014 juillet août septembre Le cheval de Troie SynoLocker cible les appareils NAS octobre La faille POODLE frappe le chiffre ment Web SSL Flambée mondiale des menaces par malware sur les DAB L’UE crée une force d’intervention pilote contre la cybercriminalité Une option de sécurité via clé USB est ajoutée aux comptes Google menaces mobiles Page 14 Android reste la cible préférée de la majorité des malware mobiles. Les menaces ciblant iOS existent, mais elles sont moins nombreuses. MAC malware 17 = Page 15 nouvelles variantes ont été découvertes entre Infecte les appareils iOS lors d’une connexion USB à un Mac lui-même infecté. ventir Subtilise les identifiants et les mots de passe et les transmet à un serveur distant. XLSXMD Utilisé dans des attaques APT (Advanced Persistent Threat : menace persistante avancée). NOUVELLES FAMILLES malware sur PC top 10 des MENACES Page 11 sality, 10 % kilim, 11 % 61 android + 3 iOS autres, 42 % downadup/ conficker, 37 % classement 1 2 3 downadup (alias Conficker) Ce ver apparu il y a 7 ans exploite la vulnérabilité MS08-067 dans Windows. Il se propage sur Internet et via des lecteurs amovibles ou des partages réseau. 1 ROGUE JUIL et DEC 2014 wirelurker Auragold de la NSA serait en mesure de pirater n’importe quel réseau sans fil Le piratage massif des données de Sony entraîne un avertissement du FBI en pourcentage Des nouveaux venus dans le paysage des menaces Mac tentent d’occuper une scène très calme jusqu'ici. Les méthodes de distribution et les capacités des malware sont de plus en plus sophistiquées. 16 + backdoor décembre résumé La liste des principales menaces dans le paysage Windows reste dominée par des familles de malware existantes. Certaines de ces familles existent depuis des années et restent présentes en infectant des machines non patchées. KOLER ET SLOCKER Depuis leur apparition au premier semestre 2014, les familles de ransomware Koler et Slocker se développent rapidement car leurs auteurs créent de nouvelles variantes. Ces familles sont désormais les ransomware Android les plus fréquemment signalés dans les statistiques de détection de nos utilisateurs. Trojan-Spy : iPhoneOS/WireLurker Des applications piratées contenant Wirelurker sont proposées sur des sites d’applications tierces pour les systèmes OS X. Les applications sont téléchargées sur les appareils iOS connectés via USB au système infecté. Par la suite, Apple a bloqué les applications infectées par Wirelurker dans l'App Store. novembre 37+11+1042N calendrier des incidents Résumé du rapport sur les menaces du 2d semestre 2014... 3 nouvelles familles kilim Une famille d’extensions de navigateur malveillantes qui postent du contenu indésirable (messages et/ou liens, Likes, etc.) sur les comptes Facebook des utilisateurs. Elles peuvent également modifier les paramètres de navigateur Web. sality Une grande famille de virus qui infectent les fichiers EXE et dissimulent leur présence au sein des systèmes infectés. Les variantes peuvent interrompre des processus, voler des données et effectuer d’autres actions malveillantes. 4 5 ramnit autorun 6 7 rimecud majava 8 anglerek 9 wormlink 10 browlock 3 avantpropos Je pense beaucoup à nos ennemis. par Je suis persuadé que l’identification des pirates est l'une des mesures les plus importantes qu’une organisation puisse prendre pour se protéger. Cela permet de savoir qui vous en veut. Mikko Hypponen Chief Research Officer F-Secure @Mikko Ce n’est pas aussi simple qu’il n'y paraît. Différents types d’organisations sont ciblés par différents types de pirates. Sans connaître l'identité des pirates qui cherchent à nous attaquer, nous n'avons aucune chance de nous défendre. Chaque cybercriminel a ses propres motivations, ses techniques et ses cibles de prédilection. Les organisations doivent prendre des mesures de protection différentes en fonction de l'attaque. La protection des données et des numéros de carte de crédit contre les cybercriminels est totalement différente de celle d’un réseau contre une attaque par déni de service lancée par un gang d’hacktivistes. “ ... l’identification des pirates est l'une des mesures les plus importantes qu’une organisation puisse prendre pour se protéger. ” C'est encore autre chose lorsqu'il s'agit de vous protéger contre une vague d’espionnage commanditée par un État-nation hostile. Certaines organisations peuvent même être ciblées par des extrémistes ou des groupes terroristes. La bonne nouvelle est que toutes les organisations ne sont pas ciblées par tous les pirates. La mauvaise nouvelle est que personne ne peut identifier vos agresseurs potentiels mieux que vous. Le travail d’identification des agresseurs est difficile à externaliser. Nous disposons tous de ressources et de budgets limités pour défendre nos réseaux. La connaissance de l’ennemi nous permet de concentrer nos ressources sur les points les plus importants. 4 Les défenseurs de la confidentialité posant les mauvaises questions font plus de mal que de bien à noter F-Secure a récemment conduit une enquête sommaire sur la perception de la sécurité et de la confidentialité [1] auprès de 1 004 personnes (501 au Royaume-Uni et 503 aux États-Unis). La question suivante était posée : Avez-vous quelque chose à cacher ? J’avais prédit que la majorité des participants répondrait « non ». En effet, 83 % ont donné cette réponse. Les participants au Royaume-Uni avaient un taux légèrement plus élevé de « non » qu’aux États-Unis. Ce résultat démontre-il que personne ne se soucie de sa confidentialité ? Non ! Évidemment que non. Les participants à l’enquête ont-ils donné la « mauvaise » réponse ? (Comme certains de mes collègues me l’ont suggéré dans le passé.) Non. La réponse est exacte, mais c’est la question qui est mauvaise. Qu’est-ce que j’entends par là ? par Sean Sullivan Security Advisor F-Secure @5ean5ullivan Demander aux gens s’ils ont quelque chose à « cacher » suscite des émotions complexes et souvent conflictuelles. C'est comme si vous leur demandiez s'ils sont malhonnêtes. La question est empreinte d'une charge émotionnelle importante, ce qui explique que les personnes restent sur la défensive. Je pense qu’il est parfaitement naturel que 83 % des personnes aient répondu par la négative. Il serait totalement illusoire de s’attendre à un autre résultat. Voici la question suivante de l’enquête : Souhaiteriez-vous partager tout ce qui concerne votre vie avec tout le monde, n’importe où, à tout moment et pour toujours ? J’avais prédit que la majorité des personnes répondraient « non ». Et ma prédiction s’est avérée correcte : 89 % des personnes interrogées ne souhaitaient pas être des exhibitionnistes. Une fois de plus, les participants au Royaume-Uni avaient un taux légèrement plus élevé de « non » qu’aux États-Unis. Selon moi, les deux questions reviennent à la même question fondamentale : la confidentialité est-elle importante ? Je pense que oui. Malheureusement, aujourd’hui un trop grand nombre de défenseurs de la confidentialité demandent aux internautes s’ils ont quelque chose à cacher. Et je pense que cette approche est contre-productive. Dans les enquêtes futures, je prévois de tester des questions telles que : y a-t-il des choses dans votre passé qu’il vaut mieux oublier ? Je prédis que la majorité des personnes interrogées répondra « oui ». Et ce « oui », c'est ce qui rendra les esprits réceptifs à votre message. Note 1. Pour plus de détails sur l’enquête, y compris une copie des données, n’hésitez pas à contacter Sean Sullivan via Twitter. 5 article POURQUOI ? 1.par par David Perry Auteur invité http://davidperryvirus.com/ Quelle est la nature de la menace ? Que représente-t-elle dans votre cas particulier ? Comment cette menace se manifeste-t-elle dans votre vie ? Que représente cette menace par rapport aux menaces auxquelles nous avons été confrontés dans le passé ? Que pouvons-nous faire ? La perte de confidentialité représentera un problème beaucoup plus important que les malware ne l’ont jamais été. Nous savons tous qu’il existe des programmes destinés à détruire nos ordinateurs, mais il s'agit en réalité d'un mythe. Cela fait 24 ans que je travaille dans le secteur de la sécurité informatique et que je scrute les malware [1] d'un œil expert, et pourtant, je n’ai encore jamais vu ni un virus, ni un cheval de Troie, ni un ver, ni aucun malware endommager un système informatique de quelque façon que ce soit. Les données, oui : une infime partie des malware détruit les données et les logiciels informatiques, et une partie encore plus infime efface ou écrase la mémoire ROM flash du BIOS de votre ordinateur. Mais qu’en est-il des écrans, des disques durs ou des systèmes si gravement infectés qu’ils doivent être jetés à la poubelle ? Pas un seul. Jamais. Si vous avez jeté un système informatique parce qu’il était infecté par des virus, vous avez fait une erreur. C'est tout simplement impossible. Même si vous pensez le contraire. Même si quelqu'un de votre famille travaille dans l’informatique et vous affirme que c'est possible. Même si vous connaissez quelqu'un qui connaît quelqu’un à la CIA qui jure que c'est possible. Maintenant, qui sait, peut-être existera-t-il dans le futur un type de matériel informatique encore inconnu, qui pourra être endommagé par un type de malware également inconnu à ce jour. Mais, pour le moment, malgré toutes les légendes urbaines prétendant le contraire, ce n'est pas le cas. Deuxièmement, vous utilisez peut-être un programme appelé « antivirus » (AV) pour protéger votre ordinateur. Vous disposez peut-être également d'un programme appelé « antimalware » (AM). Dans l'ensemble, il n’y a pas de différences fonctionnelles entre ces deux types de logiciels. Aucun AV ou AM n’a jamais été spécialisé dans la détection exclusive des virus. À ma connaissance, même les premiers AV détectaient les chevaux de Troie et les vers. La majorité des malware détectés, bloqués et éliminés par votre antivirus récent ne sont pas des virus. Les virus, bien qu’ils existent encore et continuent d’être créés, ne constituent qu’une petite minorité des malware observés dans le monde aujourd’hui. Cela n’a pas d'importance, puisque tous ces programmes ont pour but de détecter tous les malware en permanence. Ne vous laissez pas tromper par le nom du produit. C'est le service marketing qui le choisit, et il ne fait probablement que miser sur un nom qui parle aux gens pour leur vendre le produit. D’autres entreprises comptent sur votre méconnaissance du sujet pour vous vendre un deuxième programme, qui vous défend contre des menaces déjà prises en charge par votre logiciel actuel. Ce n'est pas le travail du service marketing de vous informer sur ce dont vous avez besoin. C'est le mien. DÉFINITION ET FONCTIONNEMENT D'UN MALWARE Comme nous l’avons déjà indiqué, un malware est un logiciel malveillant et indésirable. Il est utilisé par différents types de personnes dans différents buts. Il peut dessiner une image sur votre écran ou vous écrire du texte. Il peut détruire vos données. (C’est rarement le cas de nos jours.) Il peut voler votre mot de passe ou votre numéro de carte de crédit, voire accéder à votre propre système informatique. Il peut chiffrer vos données et vous demander une rançon pour les récupérer. Il peut même être utilisé pour infecter le poste de votre employeur ou celui de son entourage. De nos jours, il est fréquent qu’il utilise simplement votre système comme base pour attaquer des personnes que vous ne connaissez même pas. Pour toutes ces raisons et un millier d’autres, il faut les bloquer. Mais il existe une menace bien pire pour vous. Il s'agit de la perte de confidentialité. 6 NOTE 1. Le terme « malware » a été inventé en 1990 par Yisrael Radai, un expert en virus récemment décédé. Ce terme recouvre les virus, les chevaux de Troie, les rootkits, les vers, les ransomware, les logiciels publicitaires, les logiciels espions, etc. Tous les logiciels malveillants et indésirables sont des « malware ». Ce sont tous des malware et donc, mon affirmation selon laquelle le matériel informatique n’est jamais détruit par un malware n’est pas qu’une vue de l’esprit, c’est un fait. Cela ne se produit jamais. Vous devez vous faire à cette idée. article CONFIDENTIALITÉ Il est tout à fait possible que la confidentialité, telle que nous la percevons aujourd’hui, soit un développement historique récent. Dans le passé, les gens savaient ce qui se passait derrière les portes closes, car il n’y avait tout simplement pas de portes closes. L’ensemble de la famille élargie vivait dans une seule pièce. Pourtant, cela fait des siècles que nous considérons la confidentialité comme un droit. Nous sommes attachés à la notion de droits et de libertés civils. Nous estimons que nous avons droit à la liberté. Ces concepts sont souvent appelés nos droits fondamentaux. Je cite la Déclaration d’indépendance des États-Unis d'Amérique : “ Nous tenons pour évidentes par elles-mêmes les vérités suivantes : tous les hommes sont créés égaux ; ils sont dotés par le Créateur de certains droits inaliénables ; parmi ces droits se trouvent la vie, la liberté et la recherche du bonheur. Les gouvernements sont établis parmi les hommes pour garantir ces droits, et leur juste pouvoir émane du consentement des gouvernés. Toutes les fois qu’une forme de gouvernement devient destructive de ce but, le peuple a le droit de la changer ou de l’abolir et d’établir un nouveau gouvernement, en le fondant sur les principes et en l’organisant en la forme qui lui paraîtront les plus propres à lui donner la sûreté et le bonheur. ” Il est à noter que la confidentialité n’est pas spécifiquement mentionnée parmi ces droits. Des débats ont récemment eu lieu, à la fois contre l’égalité devant la loi et au sujet de la nature des droits inaliénables. Cependant, depuis leur apparition dans la Magna Carta, en passant par la fondation des États-Unis et dans bien d'autres faits de l’histoire de l’humanité, ces principes se sont avérés universels. Ils ont été étendus à un certain nombre d'autres droits, tels que le droit à la sécurité dans l'intimité de votre domicile, votre personne et votre conscience. Je pourrais résumer les luttes qui ont eu lieu au cours de l’histoire comme une recherche et une bataille pour l’équité. Si cela est important pour vous, alors il est temps pour vous de prêter attention. S’il n’y a pas de vie privée, pas de place pour une opinion contraire ou pour une orientation différente de la majorité ou de la tendance générale, alors il n’y a pas d’équité. Développons. SCIENCE-FICTION Dans son livre Comte Zéro, William Gibson propose un monde dans lequel, pour éviter les regards indiscrets, des mesures extrêmes sont nécessaires. Les personnages demandent l’aide d’un homme appelé « the Finn », qui les enferme dans une cage de circuits conçue pour bloquer toute surveillance du monde extérieur. Dans le film Ennemi d’État, le personnage principal vit dans une cage métallique qui le protège contre l’espionnage électronique. Ce qui pourrait vous surprendre, c’est qu’il existe de telles cages dans le monde. Elles sont appelées cages de Faraday et sont utilisées pour de nombreuses applications. Il en existe une chez F-Secure qui est utilisée pour tester les malware sans fil qui se transmettent d’un téléphone à un autre, sans risque d’infecter les téléphones au bureau. Mais vous ne pouvez pas passer votre vie dans une cage. Vous sortez dans des lieux publics et, surtout, vous êtes connecté. Peut-être l’ignorez-vous, mais chacun de vos pas est enregistré et analysé. Cela crée un monde de surveillance quasi-totale. Imaginez les informations que votre téléphone peut collecter. Il contient tous vos e-mails, vos SMS, votre positionnement GPS, votre navigation Web, vos photos et vos communications téléphoniques. Cela ne fait pas partie d’un plan maléfique, mais de moyens ordinaires de publicité et de marketing. Mais que se passe-t-il lorsque tous les murs sont transparents ? La banque vous refuse un prêt pour l’achat d'un appartement ou d’une voiture ? Vous ne trouvez pas de travail ? Vous échouez à l’école ou au travail ? Vos frais d'assurance maladie sont trop élevés à cause d'un antécédent familial de diabète ou d’autres maladies ? Vous avez voté pour un candidat que quelqu’un d'autre n’aime pas ? Ces informations ne sont pas forcément directement obtenues à partir de vos données, mais elles peuvent être facilement déduites de façon logique. Vous pouvez ne plus avoir droit à toutes sortes de choses sans jamais savoir pourquoi. PEUR Les virus ne m’ont jamais fait peur. Je n’ai pas peur de perdre mes données, mon numéro de carte de crédit ou même de l’argent. Je peux gagner plus d’argent, ou prendre plus de photos numériques. Ce ne sont que des tracas ou, au pire, une simple perte. Mais si je perds ma vie privée, il sera extrêmement difficile et très coûteux de la récupérer. Alors prenez vos précautions, et envisagez une protection de votre confidentialité. Tous les experts sont d’accord pour recommander l'acquisition d'un VPN (Virtual Private Network), et il se trouve que nous produisons un VPN qui est facile à utiliser et très sécurisé. Ce n’est pas un remède universel. Mais c’est la meilleure démarche pour un avenir plus sûr. Switch on Freedom. 7 2d semestre 2014 Un tribunal décide que la police américaine ne peut pas effectuer des recherches dans des appareils mobiles sans mandat Un malware espionnerait les activistes de la Révolution des parapluies Juin : La Cour suprême des États-Unis a décidé que les policiers doivent obtenir des mandats de recherche pour examiner le contenu des appareils d’individus arrêtés Oct : Il a été découvert que des applications distribuées aux participants des manifestations à Hong Kong collectent des données stockées sur les appareils Les utilisateurs de twitch.tv piratés par le cheval de Troie Eskimo Home Depot confirme la présence d’une faille dans ses systèmes POS en magasin Flambée mondiale des menaces sur les DAB assistées par malware Sep : Un compte Twitch-bot expose les utilisateurs de la plate-forme de jeux twitch.tv à un malware qui pirate leur compte de jeux Steam Sep : Les systèmes de caisse enregistreuse utilisés dans certains magasins aux États-Unis et au Canada ont été affectés par un malware qui vole les numéros de carte de crédit et les adresses e-mail Oct : La Malaisie, la Russie et d’autres pays signalent des cas de malware installés sur des DAB et utilisés pour distribuer de l’argent à partir des machines infectées CosmicDuke combine les menaces Cosmu et MiniDuke vulnérabilités Juil : Première menace combinant le chargeur dérivé de MiniDuke et le contenu dérivé de Cosmu pour voler des données dans des systèmes infectés SÉCURITÉ DES PRODUITS RÉPRESSION MALWARE attaques LIBERTÉ NUMÉRIQUE Calendrier des incidents 8 Le cheval de Troieransomware SynoLocker cible les appareils NAS La nouvelle variante de BlackEnergy passe d’un crimeware à un APT Pitou met à jour le malware Srizbi pour plus de spam Août : Le cheval de Troie Août : Le nouveau spambot Sep : Nouvelle variante Synolocker cible les appareils Pitou met à jour l’ancien du cheval de Troie de stockage en réseau NAS ; code Srizbi avec plus de BlackEnergy utilisée par le l’opérateur propose ensuite de fonctionnalités et utilise gang Quedagh pour voler vendre toutes les clés retenues les systèmes infectés pour des données à des cibles en en échange d’une rançon envoyer des e-mails de spam Ukraine et en Pologne Un bug Shellshock frappe les machines Linux et Unix Sep : Efforts importants des développeurs pour mettre à jour les programmes affectés par une faille dans l’interpréteur populaire BASH (Bourne Again Shell) de GNU qui permet aux pirates distants d’exécuter un code sur des machines infectées L’UE crée une force d’intervention pilote contre la cybercriminalité 3 voleurs de DAB utilisant un logiciel malveillant arrêtés au Royaume-Uni Utilisateurs de RAT appréhendés dans une opération de police coordonnée dans l’UE Sep : L’UE lance un programme pilote de 6 mois pour créer une force d’intervention contre la cybercriminalité composée de personnel du Centre européen contre la cybercriminalité, du FBI, du NCA et de la police fédérale allemande Oct : La London Regional Fraud Team appréhende 3 individus pour des vols de DAB ; ils sont accusés de tentative d’escroquerie et blanchiment d’argent Nov : 15 individus dans plusieurs pays de l’UE arrêtés pour utilisation du RAT BlackShades dans une opération coordonnée Xiaomi bloque la fuite de données des téléphones sur Mi-Cloud Une option de clé de sécurité ajoutée aux comptes Google Microsoft publie un correctif d'urgence de bug de Windows Août : Le modèle Xiaomi RedMi 1S a été modifié pour rendre la messagerie sur le Cloud facultative et chiffrer les données transmises par l’appareil vers le Cloud Oct : Nouvelle méthode d’authentification à deux facteurs utilisant une clé USB physique désormais disponible pour la sécurité des comptes Google Nov : Toutes les versions prises en charge de Windows recevront un correctif pour le bug d’authentification d’utilisateur dans le composant Kerberos Le calendrier des incidents dresse la liste des actualités intéressantes dans le domaine de la sécurité numérique au cours du second semestre 2014. Les éléments contenus dans ce calendrier ont été signalés par différents portails technologiques, des publications sur la recherche en matière de sécurité, des sites d'organes répressifs, de grands titres de presse ainsi que le Weblog de F-Secure. La liste des sources se trouve à la page 16. Auragold de la NSA est censé être en mesure de pirater n’importe quel réseau sans fil Déc : Le tribunal IPT (Investigatory Powers Tribunal) a jugé que le programme de surveillance TEMPORA du GCHQ de l’agence de renseignement britannique respecte le cadre légal Déc : L’agence de renseignement américaine NSA surveillerait les e-mails entre les opérateurs de télécommunication pour rechercher des documents techniques qui pourraient faciliter le piratage des réseaux sans fil Le piratage massif des données de Sony entraîne un avertissement du FBI Déc : Suite au piratage des Nov : Des documents divulgués par données de Sony, le FBI avertit Snowden indiquent que la boîte les entreprises américaines d’outils Regin est utilisée par la NSA et sur la capacité des malware à le GCHQ pour espionner les agences gouvernementales de l'UE et les opérateurs contrôler toutes les données sur les systèmes affectés de télécommunications belges Nov : Détection d’un nœud de sortie TOR basé en Russie insérant un malware dans les programmes Windows transitant par celui-ci pour voler des données Backdoor Linux Turla opérationnel sur Solaris Diffusion des kits d’exploitation Archie et Astrum Oct : Nouvelle variante de ransomware-cheval de Troie avec plus de fonctionnalités anti-analyse, mettant à jour les méthodes de communication Déc : L’analyse du backdoor Linux connecté à la menace APT Turla met en évidence un environnement lui permettant de fonctionner sur Solaris Déc : Les nouveaux kits d’exploitation Archie et Astrum commencent à s’imposer sur le marché souterrain des boîtes à outils de malware Sep : Un bug découvert dans le standard SSL (Secure Socket Layer) 3.0, qui est encore utilisé par les anciens navigateurs et serveurs, pourrait permettre à un pirate situé à proximité de prendre le contrôle de la connexion Internet d’un utilisateur. Nov : Des suspects auraient créé des programmes utilisés pour attaquer les appareils iOS connectés à des machines infectées CME entre en lutte contre le cheval de Troie APT Moudoor Adobe renforce le correctif CVE-2014-8439 Nov : Adobe publie un correctif Nov : Adobe publie un correctif pour additionnel pour renforcer Flash la vulnérabilité CVE-2014-8439 dans Flash Player qui est activement ciblée Player contre la faille CVE-2014-8439 récemment découverte par le kit d’exploitation Angler Un adolescent britannique plaide coupable pour des attaques DDoS contre Spamhaus Déc : Un adolescent londonien plaide coupable pour des attaques DDoS commises l'année dernière sur un service anti-spam et le réseau de distribution de contenu CloudFlare SÉCURITÉ DES PRODUITS Déc : Les fournisseurs de sécurité lancent l’initiative CME (Coordinated Malware Eradication) pour détecter le cheval de Troie Moudoor utilisé par les groupes d’espionnages RÉPRESSION La Chine rapporte 3 arrestations liées au malware Wirelurker vulnérabilités La faille POODLE frappe le chiffrement Web MALWARE Ransomware Cryptowall 2.0 détecté dans la nature Correctif d’urgence de CVE-2014-8439 dans Adobe Flash Player ATTAQUES Boîte à outils Regin identifiée dans des attaques APT dans l’UE Infection par OnionDuke du trafic de nœuds de sortie TOR LIBERTÉ NUMÉRIQUE Un tribunal britannique juge que la surveillance TEMPORA ne viole pas les droits de l’homme Apple met à jour OS X pour réparer les failles de NTP Dec : Apple publie un premier correctif automatisé pour les machines OS X pour corriger une vulnérabilité critique dans le protocole NTP (Network Time Protocol) 9 T2 2014 synthèse sur le paysage des menaces Top des menaces émergentes Les détections rapportées à nos systèmes de télémétrie par les utilisateurs de produit F-Secure au cours du second semestre 2014 présentent des changements notables comparées aux rapports collectés au cours des six premiers mois de l’année. Comme dans nos rapports semestriels précédents, Downadup (également appelée Conficker) reste en tête de la liste des 10 menaces les plus importantes. Mais le plus intéressant dans cette période est la progression des familles Kilim, AnglerEK, Rimecud et Browlock, qui reflète des changements et des tendances sous-jacents dans le paysage des menaces en 2014. exploitation des vulnérabilités La tendance la plus marquante dans nos rapports de détection est la domination croissante des malware ciblant des vulnérabilités. Cela signifie que les systèmes d’exploitation et les applications sans correctif continuent de contribuer à ces statistiques de détection, mais dans des nombres beaucoup plus faibles que les années précédentes. Une forme particulière de ces malware, les kits d’exploitations, sont des boîtes à outils implantées sur des sites Web compromis qui exploitent les vulnérabilités sur l’appareil d’un visiteur du site afin de déposer de façon invisible des malware sur sa machine. Les kits d’exploitation Angler et Astrum (appelés AnglerEK et AstrumEK dans nos statistiques) ont connu une forte croissance dans nos statistiques de détection en 2014. Les rapports de détections du kit AnglerEK ont grimpé en flèche depuis que nous avons commencé à le détecter en septembre 2014 et il occupe actuellement une place de premier plan dans le tableau des prévalences des menaces (page 13). Les malware ciblant les vulnérabilités dans la plate-forme Java (collectivement appelés Majava) sont encore suffisamment efficaces pour apparaître dans notre liste de Top 10 des menaces. Cela indique que les utilisateurs continuent d’utiliser des versions sans correctif de cette plate-forme de développement très populaire. Des variantes de la famille Wormlink, qui exploitent une vulnérabilité dans le système d’exploitation Windows, frappent une autre cible courante, les machines Windows sans correctif. 10 L’observation générale de la répartition des menaces par région (page 12) montre que ces malware ciblant les vulnérabilités semblent être plus actifs en Amérique du Nord et en Europe. Bien qu’il soit délicat de faire des généralisations, les autres régions semblent être plus affectées par des menaces « anciennes » qui ne sont plus efficaces contre les systèmes d’exploitation ou programmes plus récents ou mis à jour. En conséquence, il est au moins plausible que la domination des malware ciblant des vulnérabilités en Amérique du Nord et en Europe soit partiellement corrélée à une différence de comportement et de configuration des machines des utilisateurs dans les différentes régions. Médias sociaux et vers L’apparition dans le Top 10 de Kilim, une famille d’extensions de navigateurs malveillantes qui ciblent les utilisateurs de Facebook, met également en évidence l’utilisation malveillante persistante des sites de réseaux sociaux pour propager des malware. Bien que les menaces ciblant et/ou se propageant sur les réseaux sociaux ne soient pas nouvelles, c’est peut être la première année que nous voyons une famille de menaces ciblant un réseau de médias sociaux uniques atteindre un tel niveau de propagation. La présence de Kilim en Amérique du Sud, au Moyen-Orient et en Océanie est plus due à la présence globale de Facebook qu’autre chose, mais elle souligne cependant la gravité de la menace. Bien qu’elle n’ait certainement pas le même niveau de prévalence, la famille de vers Rimecud utilise également les réseaux sociaux pour propager ses infections sur tous les continents. Suite page 13 TOP 10 MENACES, D 2 TRIMESTRE 2014 CONFICKER/ % DOWNADUP 37 TOP 5 DES PAYS Ver qui exploite la vulnérabilité MS08-067 dans Windows pour se propager sur Internet, les lecteurs amovibles et les partages réseau. Sa présence globale a été constante au cours des 7 dernières années. KILIM 11% TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Vietnam Famille d’extensions de navigateur malveillantes qui Philippines postent du contenu indésirable Thaïlande (messages et/ou liens, Likes, etc.) sur les comptes Facebook. Elles Mexique peuvent également modifier les Brésil paramètres de navigateur Web. 8%RAMNIT 7 469 2 046 1 776 1 265 1 388 7% MAJAVA 6 527 3 976 2 645 1 486 1 248 TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Brésil États-Unis Canada Pays-Bas Italie 132 131 113 89 54 (SUR 10 000 UTILISATEURS) États-Unis Suisse Canada Royaume-Uni Pays-Bas Icônes de raccourci spécialement conçues pour exploiter la vulnéra bilité critique CVE-2010-2568 de Windows afin d'obtenir le contrôle total du système. (SUR 10 000 UTILISATEURS) Pakistan Grande famille de virus qui Égypte infectent les fichiers EXE et masquent leur présence sur les systèmes infectés. Tunisie Des variantes peuvent interrompre Malaisie des processus, voler des données et effectuer d’autres actions malveillantes. Turquie 185 133 122 84 62 TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Vietnam Pakistan Malaisie Tunisie Philippines 7%AUTORUN 3 523 1 856 1 095 1 041 1 020 TOP 5 DES PAYS Famille de vers qui se propagent principalement par l’intermédiaire de lecteurs amovibles et de disques durs, et qui peuvent effectuer des actions malveillantes telles que le vol de données, l’installation de backdoors, etc. 7%RIMECUD (SUR 10 000 UTILISATEURS) Malaisie Turquie Inde Brésil Taïwan 2 945 1 438 1 364 903 413 4%BROWLOCK Famille de ransomware « Gendarmerie » qui prennent le contrôle du système des utilisateurs, prétendument pour possession de contenu illégal. Ils demandent ensuite le paiement d’une « amende » pour rétablir un accès normal. 669 315 306 160 143 TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Famille de vers qui se propagent principalement sur les lecteurs amovibles et les réseaux de messagerie instantanée. Ils peuvent également installer une backdoor qui permet à un pirate d’accéder à un système et le contrôler à distance. TOP 5 DES PAYS 5%WORMLINK TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Ensemble d'exploitations ciblant des vulnérabilités dans la plate-forme de développement très répandue Java. Une attaque réussie peut notamment donner au pirate le contrôle total du système. Collection d’exploi tations pour vulnérabilités multiples. Une attaque réussie peut même donner au pirate le contrôle total du système. SALITY 10% TOP 5 DES PAYS Indonésie Famille de virus qui infectent les fichiers EXE, DLL et HTML. Des variantes Pakistan peuvent également déposer un fichier qui Vietnam Tunisie tente de télécharger d'autres malware à Malaisie partir d'un serveur distant. 6%ANGLEREK (SUR 10 000 UTILISATEURS) Émirats arabes unis 8 385 Malaisie 6 274 Serbie 3 606 Roumanie 3 502 Brésil 1 556 Espagne France Italie États-Unis Royaume-Uni 196 188 89 86 81 TOP 5 DES PAYS (SUR 10 000 UTILISATEURS) Suisse Belgique États-Unis Pays-Bas Allemagne 138 57 55 54 49 11 2 semestre 2014 TOP 5 DANS LA RÉGION, % AMÉRIQUE DU NORD AnglerEK CVE-2013-2460 AstrumEK Majava Rimecud 19 19 15 14 9 Le ver Downadup, apparu il y a 7 ans, reste présent dans quatre régions, mais la première menace en Amérique du Nord est désormais le kit d’exploitation Angler. En Afrique, l’ancienne famille de virus Sality reste dominante. La plus grande menace en Océanie provient de malware ciblant la plate-forme Java. EUROPE Downadup27 Rimecud13 AnglerEK11 Majava 10 Autorun8 ASIE TOP 5 DANS LA RÉGION, % Par région, d TOP 5 DANS LA RÉGION, % MENACES La plupart des menaces recensées par les utilisateurs de F-Secure au cours du second semestre 2014 proviennent d’Europe et d’Asie, mais un nombre croissant sont aussi originaires d’Amérique du Sud. Downadup45 Sality 12 Ramnit 12 Wormlink9 Autorun8 12 Downadup 33 Kilim 28 Sality 13 Runouce7 Majava 4 AFRIQUE TOP 5 DANS LA RÉGION, % TOP 5 DANS LA RÉGION, % AMÉRIQUE DU SUD Downadup Sality Ramnit Kilim Autorun Sality 22 Ramnit 20 Downadup18 Autorun10 Virut 9 73 7 6 3 3 OCÉANIE TOP 5 DANS LA RÉGION, % TOP 5 DANS LA RÉGION, % MOYENORIENT Majava Kilim Autorun AnglerEK Rimecud 17 17 16 15 11 synthèse sur le paysage T2 des menaces 2014 Suite de la page 10 ransomware Enfin, si nous examinons le profil des principales menaces signalées par les utilisateurs de nos produits (ci-dessous), la présence croissante de la famille Browlock dans les statistiques reflète la croissance des ransomware dans leur ensemble. Cette forme particulière de malware a causé des problèmes importants pour les utilisateurs au cours des deux dernières années, et est peut être la plus problématique de toutes les menaces observées. Bien que les détails puissent différer entre les familles, les ransomware actuels chiffrent généralement des fichiers pour obtenir une rançon, les fichiers étant pratiquement impossibles à récupérer sans la clé de décryptage détenue par les pirates. Taux de détection (% de l’ensemble des détections de malware pour le 2d semestre) En plus des menaces plus anciennes telles que Cryptolocker et CryptoWall, de nouvelles familles telles que CTB-Locker et SynoLocker sont des menaces émergentes notables ciblant les PC. L’émergence de la famille SynoLocker, qui infecte les appareils de stockage en réseau (NAS) est également une indication claire que les développeurs de malware étendent les fonctionnalités de ciblage de leurs produits. Sur Android, les familles de ransomware-chevaux de Troie Koler et Slocker sont également en croissance et sont actuellement les familles de ransomware les plus répandues sur cette plate-forme. L’extrême difficulté du décryptage des fichiers affectés sans clé de décryptage, et les différents problèmes délicats liés au paiement d’une rançon (en particulier si une entreprise est touchée), font des ransomware une menace particulièrement difficile à résoudre. La solution recommandée à la suite d’une infection par un ransomware consiste à signaler l’incident aux autorités légales compétentes et restaurer les fichiers affectés à partir d’une sauvegarde propre et récente sur un système nettoyé. FRÉQUENCE DES MENACES, 2D SEMESTRE 2014 % 4,5 4 3,5 3 Downadup / Conficker 2,5 2 1,5 1 anglerek browlock Sality Kilim Autorun Ramnit Wormlink Majava Rimecud 0,5 0 JUIL AOU SEP OCT NOV DEC MOIS 13 MENACES MOBILES , T2 2014 NOUVELLES FAMILLES Android iOS Ransomware sur Android Les menaces bloquant les données et/ ou l’appareil des utilisateurs contre une demande de paiement continuent de croître 61 3 KOLER ET SLOCKER Depuis leur apparition au premier semestre 2014, les familles de ransomware Koler et Slocker se sont développées rapidement au fur et à mesure que leurs auteurs créaient de nouvelles variantes. Ces familles sont désormais les ransomware les plus fréquents dans les statistiques de détection de nos utilisateurs. Trojan : Android/Svpeng Ce cheval de Troie bancaire qui se propage via les SMS affiche une page de phishing lorsque l’utilisateur lance une application bancaire afin de subtiliser les identifiants de connexion de compte. Des variantes agissent également comme un ransomware, en bloquant l’appareil et en demandant le paiement d’une « amende » pour une prétendue activité criminelle. Tentative d’infiltration de iOS Les pirates continuent d'analyser les limites de l’enveloppe de sécurité iOS pour rechercher une voie d’entrée EXPLOIT : IPHONEOS/CVE-2014-4377 Document PDF spécialement conçu qui, lorsqu’il est ouvert sur des appareils utilisant des versions non corrigées de iOS 7.1.x, peut exploiter la faille CVE-2014-4377 dans le système ; un pirate devrait également exploiter une deuxième faille pour exécuter le code à distance. Trojan-Spy : iPhoneOS/WireLurker Des applications piratées contenant Wirelurker sont proposées sur les sites d’applications tierces pour les machines OS X. Les applications sont téléchargées sur les appareils iOS connectés via USB à la machine infectée. Par la suite, Apple a bloqué les applications infectées par Wirelurker dans l'App Store. BACKDOOR : IPHONEOS/XSSER Outil d’administration distant sur Android adapté pour iOS qui est capable de collecter des données (telles que les messages SMS, les photos stockées et les contacts) depuis l’appareil. L’installation nécessite une boutique d’applications tierces uniquement accessibles sur appareil jailbreaké. lockscreen et scarepackage Également signalés par les chercheurs en sécurité au cours du second semestre 2014, ces deux ransomware-chevaux de Troie utilisent des notifications « Gendarmerie » pour contraindre l’utilisateur à payer une « amende » pour une prétendue activité illégale. Ces deux menaces ont été détectées par F-Secure comme étant des variants des familles Koler et Slocker. TOP DES PROGRESSIONS PAR FAMILLE Les familles basées sur les services de SMS Premium ont connu la plus forte croissance, avec des opérateurs développant leurs opérations et diffusant de plus en plus de variantes au cours des six derniers mois. Famille Nouvelles variantes, T2 2014 SmsSend Nombre total de variantes*, 2012 - 2014 259 SmsSpy 97 FakeInst 80 SmsReg 52 Smsforw 49 82 78 574 350 183 BLOCAGE DES FUITES DE DONNÉES Les vols de volumes importants de données dans les entreprises ont fait les gros titres en 2014. Mais très peu de fuites de sécurité de données mobiles ont été observées en 2014, lesquelles ont été rapidement corrigées. XIAOMI met à jour un TÉLÉPHONE Le constructeur de smartphones Xiaomi a mis à jour son modèle Redmi Note en août pour modifier un service de Cloud afin que qu’il ne soit plus activé par défaut mais soit une option volontaire. Il a également renforcé la sécurité de transmission des données liée à ce service. SnapChat corrige une fuite L’entreprise de médias sociaux Snapchat met à jour son application Android et iOS pour corriger la « violation » de son API qui a conduit au vol de 4,6 millions de noms d’utilisateur et mots de passe sur ses serveurs en décembre. *REMARQUE : les nombres indiqués représentent les variantes uniques détectées. Cela signifie que les outils d'installation « reconditionnés » ne sont pas comptabilisés, et que les malware multi-composants comptent pour un. RESSOURCES 14 1. Forbes ; Anthony Kosner ; 1er janvier 2014 ; https://www.forbes.com/sites/anthonykosner/2014/01/01/4-6-million-snapchatusernames-and-phone-numbers-captured-by-api-exploit/ 2. FSLabs; F-Secure Weblog ; Testing the Xiaomi RedMi 1S - now with OTA update ; 14 août 2014 ; https://www.f-secure.com/weblog/archives/00002734.html 3. New York Times ; Nicole Perlroth ; Android Phones Hit by ‘Ransomware’ ; 22 août 2014 ; https://bits.blogs.nytimes.com/2014/08/22/android-phones-hit-by-ransomware/?_r=0 T2 2014 malware sur MAC 3 2 juillet ROGUE 0 3 2 wirelurker 3 La famille WireLurker est constituée de backdoors qui ont été découverts alors qu’ils étaient distribués par un App Store tiers en Chine. Les malware appartenant à cette famille peuvent infecter un appareil iOS si l’appareil est connecté à une machine OS X via USB. Même un appareil non jailbreaké peut être infecté [1]. variantes 1 3 variante nouvelles familles 1 variante *REMARQUE : les nombres indiqués représentent les variantes uniques détectées. Cela signifie que les outils d'installation « reconditionnés » ne sont pas comptabilisés, et que les malware multi-composants comptent pour un. RESSOURCES 1. 2. 3. ventir La famille Ventir est constituée d’un backdoor qui se connecte avec le nom d’utilisateur et le mode passe des victimes[2] et transmet les données à un serveur distant. xlscmd La famille XLSCmd est constituée d’un backdoor qui est utilisé dans les attaques APT. Son code est très similaire à son équivalent sur Windows, mais la version Mac comporte deux fonctionnalités supplémentaires : le keylogging et la capture d’écran [3]. Palo Alto Networks ; Claud Xiao ; WireLurker: A New Era In OS X And iOS Malware ; 5 novembre 2014 ; https://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/ Securelist ; Mikhail Kuzin ; The VentirTrojan: assemble your Mac OS spy ; 16 octobre 2014 ; https://securelist.com/blog/research/67267/the-ventir-trojan-assemble-your-macos-spy/ SC Magazine ; Danielle Walker ; Modular malware for OS X includes backdoor, keylogger components ; 20 octobre 2014 ; https://www.scmagazine.com/modular-malware-for-os-x-includes-backdoor-keylogger-components/article/378245/ 15 décembre 1 novembre JUILLET et DECEMBRE 2014 + 7 octobre de malware sur Mac au total ont été découvertes entre backdoor septembre nouvelles variantes nouvelles variantes découvertes par mois août 17 = 16 SOURCES calendrier des incidents liberté numérique malware 1. Adam Liptak ; New York Times : Major Ruling Shields Privacy of Cellphones ; Supreme Court Says Phones Can’t Be Searched Without a Warrant ; 25 juin 2014 ; https://www. nytimes.com/2014/06/26/us/supreme-court-cellphonessearch-privacy.html?_r=0 2. Sean Gallagher, Arstechnica ; Year of the RAT: China’s malware war on activists goes mobile ; 3 octobre 2014 ; https://arstechnica.com/security/2014/10/year-of-the-ratchinas-malware-war-on-activists-goes-mobile/ 3. Owen Bowcott ; The Guardian ; UK mass surveillance laws do not breach human rights, tribunal rules ; 5 décembre 2014 ; https://www.theguardian.com/uk-news/2014/dec/05/ukmass-surveillance-laws-human-rights-tribunal-gchq 4. Ryan Gallagher ; The Intercept ; Operation Auroragold: How the NSA Hacks Cellphone Networks Worldwide ; 4 décembre 2014 ; https://firstlook.org/ theintercept/2014/12/04/nsa-auroragold-hack-cellphones/ 11. Timo Hirvonen ; F-Secure Weblog ; CosmicDuke: Cosmu With a Twist of MiniDuke ; 2 juillet 2014 ; https://www.fsecure.com/weblog/archives/00002723.html 12. FSLabs ; F-Secure Weblog ; Pitou Q&A ; 28 août 2014 ; https://www.f-secure.com/weblog/archives/00002738. html 13. Arturri Lehtio ; F-Secure Weblog ; Ransomware Race (part 2): Personal media the next frontier? ; 6 août 2014 ; https://www.f-secure.com/weblog/archives/00002730. html 14. Sean Sullivan ; BlackEnergy 3: An Intermediate Persistent Threat ; 25 septembre 2014 ; https://www.f-secure.com/ weblog/archives/00002747.html 15. Arturri Lehtio ; F-Secure Weblog ; CryptoWall Updated to 2.0 ; 2 octobre 2014 ; https://www.f-secure.com/weblog/ archives/00002750.html 16. FSLabs ; F-Secure Weblog ; Mysterious Turla Linux Backdoor Also For Solaris? ; 11 décembre 2014 ; https:// www.f-secure.com/weblog/archives/00002775.html 17. Patricia Dacuno ; Archie and Astrum: New Players in the Exploit Kit Market ; 11 décembre 2014 ; https://www.fsecure.com/weblog/archives/00002776.html attaques 5. FSLabs ; F-Secure Weblog ; Twitch of Fate: Gamers Shamelessly Wiped Clean ; 12 septembre 2014 ; https:// www.f-secure.com/weblog/archives/00002742.html 6. Maggie McGrath ; Forbes ; Home Depot Confirms Data Breach, Investigating Transactions From April Onward ; 8 septembre 2014 ; https://www.forbes.com/sites/ maggiemcgrath/2014/09/08/home-depot-confirms-databreach-investigating-transactions-from-april-onward/ 7. Brian Krebs ; Krebs on Security ; Spike in Malware Attacks on Aging ATMs ; 20 octobre 2014 ; https://krebsonsecurity. com/2014/10/spike-in-malware-attacks-on-aging-atms/ 8. FSLabs ; F-Secure Weblog ; OnionDuke: APT Attacks Via the Tor Network ; 14 novembre 2014 ; https://www.f-secure. com/weblog/archives/00002764.html 9. Morgan Marquis-Boire, Claudio Guarnieri et Ryan Gallagher ; Secret Malware in European Union Attack Linked to U.S. and British Intelligence ; 24 novembre 2014 ; https://firstlook.org/ theintercept/2014/11/24/secret-regin-malware-belgacomnsa-gchq/ 10. Sean Sullivan ; F-Secure Weblog ; Who hacked Sony Pictures Entertainment and why? ; 4 décembre 2014 ; https://www.fsecure.com/weblog/archives/00002771.html 16 vulnérabilités 18. Tom Fox-Brewster ; The Guardian ; What is the Shellshock bug? Is it worse than Heartbleed? ; 25 septembre 2014 ; https://www.theguardian.com/technology/2014/sep/25/ shellshock-bug-heartbleed 19. Peter Bright ; Arstechnica ; SSL broken, again, in POODLE attack ; 15 octobre 2014; https://arstechnica.com/ security/2014/10/ssl-broken-again-in-poodle-attack/ répression 20.Tom Brewster ; The Guardian ; Europol launches taskforce to fight world’s top cybercriminals ; 1er septembre 2014 ; https://www.theguardian.com/technology/2014/sep/01/ europol-taskforce-cybercrime-hacking-malware 21. Tim Ring ; SC Magazine ; UK police arrest trio over £1.6 million cyber theft from cash machines ; 24 octobre 2014 ; https://www.scmagazineuk.com/uk-police-arresttrio-over-16-million-cyber-theft-from-cash-machines/ article/379115/ 22. Europol ; Users of Remote Access Trojans arrested in EU cybercrime operation ; 20 novembre 2014 ; https:// www.europol.europa.eu/content/users-remote-accesstrojans-arrested-eu-cybercrime-operation 23. John Leyden ; The Register ; Three WireLurker suspects arrested in China – reports ; 17 novembre 2014 ; https:// www.theregister.co.uk/2014/11/17/wirelurker_suspects_ china_arrests/ 24.Timo Hirvonen ; F-Secure Weblog ; One Doesn’t Simply Analyze Moudoor ; 14 octobre 2014 ; https://www.fsecure.com/weblog/archives/00002753.html 25. John Leyden ; The Register ; London teen pleads guilty to Spamhaus DDoS ; 17 décembre 2014 ; https://www. theregister.co.uk/2014/12/17/london_teen_pleads_ guilty_to_spamhaus_ddos/ SÉCURITÉ DES PRODUITS 26. FSLabs ; F-Secure Weblog ; Testing the Xiaomi RedMi 1S - now with OTA update ; 14 août 2014 ; https://www.fsecure.com/weblog/archives/00002734.html 27. Google ; Using Security Key for 2-Step Verification ; 21 octobre 2014 ; https://support.google.com/accounts/ answer/6103523?hl=en 28. Brian Krebs ; Krebs on Security ; Microsoft Releases Emergency Security Update ; 18 novembre 2014 ; https:// krebsonsecurity.com/2014/11/microsoft-releasesemergency-security-update/ 29. Timo Hirvonen ; F-Secure Weblog ; Out-of-Band Flash Player Update for CVE-2014-8439 ; 25 novembre 2014 ; https://www.f-secure.com/weblog/archives/00002768. html 30.Adobe ; Security updates available for Adobe Flash Player ; 25 novembre 2014 ; https://helpx.adobe.com/ security/products/flash-player/apsb14-26.html 31. Gregg Keizer ; Computerworld ; Apple deploys first-ever automatic patch to fix NTP flaw ; 23 décembre 2014 ; https://www.computerworld.com/article/2862976/ apple-deploys-first-ever-automatic-patch-to-fix-ntpflaw.html 17 SWITCH ON FREEDOM © F-Secure Corporation 2015. Tous droits réservés.