marc

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Le piratage informatique tient souvent à pas grand chose, à un mot de passe pourri par exemple ! Equifax a annoncé, la semaine dernière qu’elle avait été victime d’un piratage. 143 millions de clients impactés. Une attaque qui aurait pu être évitée si l’entreprise avait fait patcher ses serveurs d’une faille vielle de plusieurs années.

On apprend dans les colonnes de la BBC qu’un second piratage a touché le professionnel du crédit.

Une autre attaque à grande échelle amène à sensibiliser les utilisateurs sur la sécurité de leurs systèmes.

En effet, un de nos experts s'est penché sur son contenu et plus particulièrement sur celui de la pièce jointe et a détecté un élément frauduleux avec un codage en base64.

Les liens intégrés sont plus que douteux et le décodage de celui-ci nous a amené, au final, à déterminer que le site sur lequel l'utilisateur est dirigé n'est là que pour récupérer ses informations confidentielles.

Depuis quelques heures, un ransomware fait de nombreuses victimes de par le monde et touche de nombreuses entreprises, notamment en France. Il semblerait que Auchan, Saint-gobain et une grande banque nationale aient été touchées. Petrwrap/Petya, c'est son nom, est une variante d'une attaque déjà vue il y a quelques temps.

Liens sponsorisés, les pièges se multiplient ! Prudence aux faux téléchargements de logiciels via les moteurs de recherche. Je vous parlais, il y a peu, des liens proposés par Google. Les premières offres proposées sont de plus en plus dangereuses. Vous reconnaissez ces liens par le mot « Annonce » qui s’y colle en haut de  la page qui affiche votre requête.

L'originalité de ce code malveillant concerne sa méthode de propagation. Les incidents rencontrés par le CERT-FR appuient l'hypothèse d'une infection initiale basée sur le service RDP accessible depuis Internet. Un mot de passe faible ou dérobé est à l'origine de l'ouverture de session à distance.

Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.

Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.