ESET et Microsoft aident Europol à démanteler le botnet Andromeda / Gamarue

Communication corporate: ESET                          decembre 2017

ESET et Microsoft aident Europol à démanteler le botnet Andromeda / Gamarue

 

Suite à une collaboration étroite entre ESET® et Microsoft®, les services du FBI, Interpol et Europol ont mis fin à l'activité du botnet Gamarue également nommé Andromeda.

 

Actif depuis 2011, Gamarue infectait plus de 1,1 million de systèmes par jour. Les chercheurs ESET et Microsoft ont partagé avec les forces de l’ordre leurs analyses techniques, des données statistiques et les domaines des serveurs C&C (commande et contrôle) utilisés par ce réseau de botnets. ESET a également fourni l’ensemble de ses recherches sur Gamarue / Andromeda.

« Compte tenu de l’ampleur et de la persistance de cette menace, lorsque Microsoft a sollicité notre aide pour mettre fin à ce réseau de botnets, nous n’avons pas hésité une seconde », déclare Jean-Ian Boutin, Senior Malware Researcher chez ESET.

Vendu comme un cyber-crime-kit sur les forums clandestins du dark net, cet hyper-diffuseur de codes malveillants s'implantait grâce à un code "discret" qui échappait à certains mécanismes de contrôle et de détection. Fort de cette discrétion, Gamarue / Andromeda serait à l'origine de la diffusion de plus de 80 familles de malwares comprenant des ransomwares, des chevaux de Troie, des outils de fraude et autres codes nécessaires aux auteurs d'attaques DDoS.

Les échantillons analysés par les chercheurs d'ESET ont montré que le malware était distribué dans le monde entier via les réseaux sociaux, la messagerie instantanée, des supports amovibles, des campagnes de spam ou encore des kits d'exploitation de menaces.

« En s'appuyant sur la plateforme d'analyse et de corrélation ESET Threat Intelligence, les chercheurs d'ESET ont élaboré un serveur "robot" dédié à la détection de l’ensemble des cybermenaces émises par le serveur C&C », déclare Benoît Grunemwald, Cybersecurity Leader chez ESET France et Afrique francophone.

Selon le dernier rapport de Fortinet*,

nombre d'organisations sont

réinfectées par un même botnet, et ce,
à plusieurs reprises, ce constat étant particulièrement

inquiétant. Il se peut que 
l'organisation victime n'ait pas saisi le danger

dans sa totalité et que le botnet soit 
resté furtif jusqu'à se réveiller lors d'un

retour à la normale des opérations métiers. 
Autre explication possible : l'origine du premier

incident de sécurité n'a jamais été
identifiée, ce qui a permis au malware de

réinfecter l'organisation.

Des malwares omniprésents et furtifs : les

principales familles de malwares utilisent
essentiellement les techniques de

téléchargement (download et upload) et

d'injection pour infecter les systèmes. Ces processus

permettent de packager les éléments 
malveillants pour les introduire en contournant

les outils de défense existants. De plus,
les malwares qui établissent des connexions

d'accès distant sont capables de recueillir
des données utilisateurs et des informations systèmes.

De telles techniques sont 
devenues la norme, comme le souligne le

rapport qui pointe la nature plus intelligente
et automatisée des malwares actuels.

· Le ransomware toujours d'actualité : après une

pause au premier trimestre
de l'année, le ransomware Locky est réapparu

à grande échelle au travers de trois
nouvelles campagnes.

Environ 10% des entreprises l'ont signalé.

De plus, 22% des
organisations ont détecté un ransomware au

cours du trimestre.

· Les cybercriminels s'en prennent aux organisations

de toutes tailles : les moyennes entreprises présentent

un taux plus important d'infection par ransomware,

démontrant qu'elles sont lourdement impactées par

les problématiques de sécurité. Les cybercriminels
considèrent souvent les organisations de taille

intermédiaire comme des proies plus faciles
: elles ne disposent pas des mêmes ressources

et technologies de sécurité que leurs
homologues plus grandes, mais leurs données

restent de grande valeur. D'autre part, 
la surface d'attaque des moyennes entreprises

s'élargit rapidement avec 
l'adoption massive de services cloud.

 

BONUS:

https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue/

https://blog.fortinet.com/2017/11/28/fortinet-quarterly-threat-landscape-report-the-battle-against-cybercrime-continues-to-escalate

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires