gendarmerie

Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

Interpellations par la gendarmerie dans le “warez”

Warez

Warez

Une quinzaine de personnes suspectées d’avoir participé à un forum organisant la diffusion de contrefaçons de films sur Internet ont été interpellés mardi dans le cadre d’une opération nationale initiée par la brigade de recherches de la gendarmerie nationale de Paris-Exelmans.

La Voix du Nord signale l’interpellation dans cette affaire de trois jeunes de la région d’Arras. 01net détaille le mode opératoire : l’intrusion frauduleuse dans les systèmes d’entreprises pour disposer d’espace de stockage et la diffusion sur le forum du groupe (de la “team”) des adresses de ces serveur pour mettre à disposition les contenus contrefaits fournis par les différents membres.

Ce n’est pas la première telle opération de la gendarmerie, qui s’attaque à la source des échanges organisés de contrefaçon de musique ou de vidéo :

En juillet de cette année, le SRPJ de Montpellier avait procédé à l’interpellation des auteurs présumés (affaire Carnage) de la création d’une contrefaçon du film Bienvenue chez les Chtis (et d’autres infos ici affaire Cinefox).

Au-delà des personnes qui téléchargent ces contenus d’origine illégale, il s’agit dans ces affaires des maillons essentiels de la contrefaçon d’œuvres de l’esprit. Ils sont soupçonnes de commettre de façon concertée :

  • des actes de contrefaçon (copie des supports originaux, copie du film en salle, copie des films avant leur sortie grâce à des complicités dans les circuits de production ou de distribution…). Une telle infraction constitue un acte de contrefaçon, réprimé par le code de la propriété intellectuelle et puni d’un maximum de trois ans d’emprisonnement et de 300.000 euros d’amende et jusqu’à cinq ans et 500.000 euros d’amende pour des faits commis en bande organisée ;
  • l’intrusion dans des serveurs et la copie sur ces serveurs ainsi contrôlés des contrefaçons pour les partager avec les membres des forums de partage. De tels faits sont punis par les articles 323-1 à 323-7 du code pénal, de cinq ans d’emprisonnement et 75.000 euros d’amende.

Évidemment, les peines maximum ne devraient pas être prononcées, toutefois, il ne faut pas négliger cet aspect particulier de la contrefaçon qui présente un risque pour les entreprises. En effet, il ne s’agit plus ici d’échanges entre “personnes consentantes” via des réseaux pair à pair, mais de l’abus des ressources de personnes innocentes – et souvent des entreprises – dont effectivement les machines étaient mal sécurisées, mais qui au mieux n’auront qu’une visite courtoise des autorités et au pire vont mettre plusieurs semaines à rétablir un fonctionnement correct de leurs systèmes.

Et il existe encore des dizaines de forums (ou “boards”) qui revendiquent de tels actes de contrefaçon. Souvent et historiquement, il s’agit de la scène “warez” de contrefaçon ou de contournement des protections des logiciels, mais de plus en plus souvent orientés exclusivement vers la musique et surtout les films commerciaux.

En conclusion, cette affaire et d’autres à venir sont une incitation supplémentaire de mieux sécuriser et surveiller correctement l’utilisation de vos machines et serveurs connectés à Internet !

Arrestation de trois bulgares soupçonnés de skimming dans des distributeurs de carburant

Suite à une plainte déposée auprès de la section de recherches de la gendarmerie nationale à Rennes, une enquête de plusieurs mois a conduit à l’identification de trois bulgares qui ont été interpellés dans leur pays, jeudi 06 novembre 2008.

Ils sont soupçonnés d’avoir abusé plusieurs centaines de clients ayant utilisé leur carte bancaire sur des distributeurs automatiques de carburant de la région Bretagne. Ils utilisaient la technique du “skimming”, qui consiste à installer un dispositif permettant de copier la piste magnétique et d’enregistrer le code composé par la victime, permettant ensuite de fabriquer une fausse carte qui est utilisée ensuite pour faire des retraits d’argent liquide dans certains pays étrangers (en Afrique du Sud dans la présente affaire).

C’est une coopération exceptionnelle entre les autorités françaises et bulgares, avec le soutien d’Europol qui a permis cette interpellation qui devrait conduire à l’extradition des auteurs présumés vers la France et la transmission des différents objets saisis sur place pour exploitation par les enquêteurs de la gendarmerie nationale assistés éventuellement d’experts.