rançongiciel

Le hameçonnage ciblé (“spear phishing”) à la une d’un rapport d’Europol

Le centre Européen de lutte contre la cybercriminalité d’Europol (EC3) a mis en ligne cette semaine un rapport sur le hameçonnage ciblé (“spear phishing”) qui est issu des travaux de leur Joint advisory group lors de sa réunion du mois de mars dernier. La philosophie de ces travaux est de proposer une vision conjointe de l’industrie et des services d’enquête sur cette menace.

Le hameçonnage est l’utilisation du courrier électronique (ou une autre forme de contact et de messagerie parfois, mais le courrier électronique reste largement majoritaire) pour contacter une victime (ou l’un de ses employés) pour l’un des usages suivants:

  • collecter des identifiants de connexion,
  • obtenir d’autres informations confidentielles (documents financiers, données personnelles),
  • délivrer des logiciels malveillants (rançongiciel, troyen d’accès à distance, enregistreur de frappes au clavier, …),
  • convaincre une victime de réaliser une opération contraire à ses intérêts (comme un virement bancaire).

On dira que le hameçonnage est ciblé s’il est destiné à un public bien déterminé: des destinataires précis au sein d’une même entreprise, des participants à une liste de discussion traitant d’un sujet sensible ou intéressant quant aux objectifs des attaquants (par exemple une liste de discussion par courrier électronique entre spécialistes d’un même domaine industriel). Ce ciblage est évalué par opposition aux campagnes de hameçonnage envoyées vers des destinataires sans relation particulière par exemple dans le contexte de l’envoi de spams.

Un chiffre clé à retenir de ce rapport est que 65% des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé.

Le rapport décrit ensuite les techniques employées pour réaliser ce type d’attaques:

  • la reconnaissance, via la collecte d’informations (en sources ouvertes la plupart du temps, notamment par la présence de l’organisation cible et de ses employés sur les réseaux sociaux professionnels)
  • envoi de messages depuis l’extérieur ou l’intérieur (une fois un premier compte compromis), adjonction de pièces jointes piégées, ou de liens vers des pages web piégées (utilisation des logos ou de noms de domaines semblables à ceux de l’entreprise ou d’un partenaire de confiance, téléchargement de fichiers piégés)
  • et par la suite, il pourra s’agir soit d’installer par ce biais des outils malveillants pour parcourir le réseau de l’organisation, copier des données, ou de plus en plus souvent ces derniers mois chiffrer les données de l’entreprise et réclamer une rançon (utilisation de rançongiciels chiffrants ou cryptolockers).

Enfin, le rapport apporte un certain nombre de conseils sur la façon de prévenir et réagir face à de telles attaques, y compris sur la coopération avec les autorités. J’insisterai plus particulièrement sur ce dernier point: si vous êtes victimes d’une telle campagne, signalez-le aux autorités, gendarmerie ou police et s’il s’agit plus spécifiquement d’une extorsion suite à l’installation d’un rançongiciel chiffrant, ne payez pas la rançon ! Si nécessaire, faites-vous accompagner par un prestataire pour la restauration de vos données, et pendant le même temps faites confiance aux autorités d’enquête pour investiguer sur l’origine de la demande de rançon.

Pour compléter les conseils apportés dans ce rapport d’Europol, n’hésitez pas à consulter les didacticiels présentés par nos amis de CYBERMALVEILLANCE.GOUV.FR; en particulier les documents sur le hameçonnage, les fichiers chiffrés avec demande de rançon et la sauvegarde de ses données.

Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

Le virus “Gendarmerie” – Bilan de la semaine

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

  • l’utilisation de l’image d’une institution ou d’une entreprise;
  • la faute que l’on peut réparer;
  • l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (“la femme avec qui tu discutais était ma petite sœur mineure…”). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani– agence Suisse de sécurité informatique – signalé par @xylit0lMalekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC