Project

General

Profile

Alertes en provenance du CERTA CERT-Renater » History » Version 4

Version 3 (Herve Ballans, 28/12/2012 11:39) → Version 4/20 (Herve Ballans, 28/12/2012 11:40)

h1. Alertes en provenance du CERTA CERT-Renater

h2. Un code malveillant utilise GoogleDocs (Alerte du 21 décembre 2012)

Les cas d'utilisation malveillante des réseaux sociaux ou de l'informatique dans le nuage, voire de webmails, se multiplient.

Cette année le CERTA a également été amené à traiter plusieurs incidents en relation avec ces services. Symantec a récemment publié un article à propos d'un code malveillant dont les connexions aux serveurs de commande et contrôle passaient par Google Docs. Un tel détournement a été rendu possible par une fonctionnalité de visualisation de fichier, à laquelle on peut soumettre une URL, sans vérification de sa malveillance. Ce phénomène rend difficile la détection des flux illégitimes :

* les serveurs destinataires ne sont, par essence, pas malveillants ;
* les flux entre le poste infecté et le serveur sont généralement chiffrés.

Ce comportement confirme également que les botnets évoluent vers des alternatives plus discrètes qu'IRC, historiquement utilisé comme protocole de communication, et donc plus difficile à bloquer.

Le CERTA recommande donc de faire preuve de vigilance, voire de réserve, à l'égard de l'utilisation des réseaux sociaux, des services de stockage dans le nuage ou de messagerie en ligne, quelle que soit la réputation de l'hébergeur.

Il est également préconisé de surveiller de tels flux à des heures qui ne correspondent pas une activité classique de bureau.
Documentation

Symantec - Malware targeting Windows 8 Uses Google Docs

www.symantec.com/connect/blogs/malware-targeting-windows-8-uses-google-docs

Bulletin d'actualité CERTA-2009-ACT-045 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-045/

h2. Vigilance vis à vis des rançongiciels ou ransomwares

De : rssi-request@ml.recherche.gouv.fr [mailto:rssi-request@ml.recherche.gouv.fr] De la part de Dominique Launay
Envoyé : mercredi 22 août 2012 16:14
À : rssi@ml.recherche.gouv.fr
Objet : [rssi] Vigilance vis à vis des rançongiciels ou ransomwares

Bonjour à toutes et à tous,

Nous attirons votre attention sur l’augmentation de l’activité d'un type de malware appelé « ransomware » ou « rançongiciel ».
Il s’agit de malware infectant l’ordinateur cible par différents biais, notamment des pages web piégés (streaming ou autre).

Le malware bloque alors tout accès à l’ordinateur (chiffrement de vos données par exemple) et, se faisant passer souvent pour un logiciel des autorités, demande le paiement d’une somme d’argent en échange du déblocage de la machine.

Cette somme est vue par l’utilisateur comme une amende car il croit avoir affaire aux autorités et, de plus, est souvent honteux du type de contenu qui l’a amené à cette situation (téléchargement illégal entre autre).
Les sommes demandées vont parfois jusqu’à 500€.

Le paiement de cette somme passe généralement par des systèmes type ukash ( http://www.ukash.com/fr/fr/home.aspx ) ou paysafecard ( http://www.paysafecard.com/fr/fr-paysafecard/ ) et on perd alors toute trace des commanditaires.

Le CERT polonais propose une page afin d’aider les personnes bloquées par ce type de logiciels : http://www.cert.pl/news/5707/langswitch_lang/en

Nous avons peu de cas pour le moment sur RENATER mais suffisamment pour se dire que la rentrée risque de compliquer les choses.

La sensibilisation des usagers est importante et un antivirus à jour est très efficace contre ces malware. Il est essentiel que les usagers ne paient pas.

Il ne faut pas hésiter à porter plainte pour escroquerie si un paiement a été effectué.

Quelques références sur le sujet :
- Abuse.ch : https://www.abuse.ch/?p=3718
- ANSSI : http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne-portant-le-logo-de-l-anssi.html
- à propos du malware citadelle : http://www.ic3.gov/media/2012/120809.aspx
- le virus « gendarmerie » : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
- FBI (ransomware reveton): http://www.fbi.gov/news/stories/2012/august/new-internet-scam
- Article de l’ANSSI sur le site sécurité informatique : http://www.securite-informatique.gouv.fr/gp_article781.html

Si des cas apparaissent dans votre établissement, n’hésitez pas à le signaler au CERT RENATER : certsvp@renater.fr

--
Dominique Launay
RENATER