Ransomware as a Service (RaaS) ESET dévoile des menaces contre les institutions financières russes

Communication Corporate: 

 

ESET dévoile des menaces contre les institutions financières russes

 

Rendu public ce jour, le rapport d’ESET présenté lors de la conférence « Virus Bulletin » à Denver en octobre 2016 détaille les attaques actuelles contre les institutions financières russes. On en dénombre plus de 600, ciblées par de nombreuses APTs. Leur analyse ainsi que celles des groupes criminels opérant dans cette zone sont passées en revue dans ce rapport.

Eset-Rapport-2016-Institutions-Fiancières

 

Récemment, la banque centrale de Russie annonçait une tentative de vol 2.87 milliards de roubles appartenant à des institutions financières russes. Selon le rapport de la banque (CBR), AWS CBC (Automated Working Station of the Central Bank Client software) a été attaqué. Certaines personnes ont supposé à tort que la banque centrale de Russie était la cible principale de l'attaque.

« La confusion est née du fait des publications affirmant que la banque centrale de Russie était victime de ce vol. Cependant, au cours des attaques utilisant AWS CBC, il s'est avéré que l'argent volé appartenait aux banques utilisant ce service et par conséquent qu'il ne s’agissait pas de celui de la banque centrale, » explique Jean-Ian Boutin, Malware researcher chez ESET.

Les attaques utilisant AWS CBC font partie des nombreux types d'attaques répertoriés par ESET dans cette étude. « Nous présentons également des attaques sur des distributeurs automatiques de billets, les systèmes de traitement des cartes bancaires, les terminaux SWIFT et commerciaux, » conclut Jean-Ian Boutin.

 

Le rapport d’ESET sur les attaques actuelles contre les institutions financières de Russie est disponible en cliquant ici.

 

 

Consulter également l’article disponible sur WeliveSecurity (extraits) 

Cybercrime services for the highest bidder

 

The services sales model represents the natural evolution of the offer into a market that is responding to a constantly growing demand. This means that IT threat developers, as well as those monetizing stolen data or kidnapping data, have begun to extend their portfolios, activities, and operations into a market that is requesting this type of service, whether it be to affect companies, industries, users, or even governments.

 

  • Fraud as a Service (FaaS)

 

In the cybercrime arena, one of the industries most affected by fraud is banking. A significant number of threats in the digital era have been developed to generate losses for the users, mainly in the credit and debit card sector, although fraud is not only limited to this transaction option.

 

Similarly, the range of threats goes from stealing cards, skimming and social engineering to attacks by phishing, and malware such as PoS (Point of Sale) and banking trojans – all with the intention of obtaining banking data. In this context, fraud as a service can be offered, from the sale of tools to carry out skimming to malicious codes especially developed to steal financial data, such as Zeus.

 

  • Malware as a Service (MaaS)

 

Additionally, some years ago malicious code began to be offered as a service, developed for specific activities and in parallel with exploit kits. Once they have infiltrated systems via vulnerabilities, they can insert malware tosteal data and passwords, spy on users’ activities, send spam, and access and remotely control the infected equipment using an entire command and control (C&C) infrastructure.

 

This same principle has been used to begin to propagate ransomware, that is, malicious code designed to kidnap files or systems and ask for a payment to retrieve them, thus taking the principle of extortion, as applied to the digital environment, to a new level. Exploit kits or botnets such as Betabot have begun to diversify their malicious activities.

 

  • Ransomware as a Service (RaaS)

 

The main idea of ransomware as a service focuses on the fact that the people who develop this threat are not those who propagate it – their task is limited to developing tools that are capable of generating this type of malware automatically. Consequently, a different group of individuals is involved in using these tools to create than the group propagating it, whatever their skills or technical knowledge.

 

In this business model, both the developers of the tools for generating ransomware and the individuals who distribute it enjoy financial gains, in a “win-win” relationship. A well-known example of ransomware as a service is Tox.

 

  • Attacks as a Service (AaaS)

 

In the same context, attacks can be offered as a service. For example, different attacks such as distributed denials of service (DDoS) may be the result of a large number of infected systems belonging to a botnet, which are offered and hired out so that this type of attack can be carried out. Moreover, they can be used to propagate more malicious code, send unwanted mass mails, or even be used to mine bitcoins.

 

 

 

Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

Communication Corporate: 

Bitdefender se joint à Europol pour désinfecter les machines Windows victimes du réseau criminel, Avalanche

A cette occasion, Bitdefender offre un outil gratuit d’analyse approfondie

pour détecter des menaces cachées.

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L'opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que GoznymMarcherDridexMatsnuURLZoneXSWKitPandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l'ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d'euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d'abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d'autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l'empêcher de se connecter à Internet ou d'accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changerqui a rendu impossible l'accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

« Le nettoyage est une étape cruciale que les victimes doivent effectuer afin d'assurer l'éradication complète de ces malwares. Même si nos produits ont réussi à détecter ces menaces depuis leur émergence, l'outil de suppression que nous avons mis en place dans le cadre de la coopération avec Europol, permet aux victimes de désinfecter totalement leurs machines et de les nettoyer après le passage du botnet. Cet outil peut très bien être utilisé en parallèle d'autres solutions de sécurité », a déclaré Catalin Cosoi, Directeur de la Stratégie de Sécurité chez Bitdefender.

Si un utilisateur a des doutes sur le fait que son ordinateur soit infecté par l’un de ces botnets ou s’il souhaite lancer une vérification rapide, Bitdefender conseille de télécharger l'outil de suppression gratuit et d'exécuter une analyse complète du système.

Remerciements à l'équipe de recherche antimalware de Bitdefender au bureau d'Iasi qui a travaillé sans relâche pour proposer la suppression et la désinfection gratuites de toutes les familles de malwares qui ont fait l'objet du démantèlement : Dragos Gavrilut – Directeur de la Recherche Antimalware, Dan Anton - Chef de Projet Technique, Razvan Benchea - Chef d'Équipe de la Recherche Malware, Mihai Leonte - Chercheur Antimalware.

SentinelOne: analyser l'action plus que les fichiers

Assises de la sécurité 2016 Monaco:

 

Magali Bohn : senior director WW chanels SentinelOne:

"En 2016, on découvre presque 400 000 nouvelles menaces par jour, on ne peut décemment pas produire autant de signature antivirus"  

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

L’antivirus est-il mort ? Acette question souvent posée aux éditeurs spacialisés, tous reconnaissent une évolution mais pas encore un enterrement de première classe. C'est aussi le cas pour SentinelOne. "Les solutions AV en 2016 ne sont plus efficaces contre toutes les nouvelles menaces. En 2016, on découvre presque 400 000 nouvelles menaces par jour, on ne peut décemment pas produire autant de signature antivirus. Depuis 2005, le Ransomware est en pleine croissance. En 2016, nous avons pu voir la première attaque sur Mac et les couts pour les entreprises ont représenté 1 Milliard de Dollars."

 

av-1

 

La nouvelle génération pour sécuriser le End Point doit permettre de détecter en amont les nouvelles attaques non encore référencées en ssuivant trois pistes: ancienne, l'antivirus plus add ons (HIPS, anti exploit, application control), l'analyse prédictive : plus de signature mais difficultés pour la remédiation et le réglage des algorithmes et dernière piste, la détection basée sur le comportement (EDR).
SentinelOne a choisi une protection multi approches qui prend en charge le cycle de vie d’une attaque. La solution est déjà disponible pour Mac, Windows et Linux (version serveur aussi).L’agent utilise peu de ressources (50 Mo). La console dans le cloud ou sur site peut gérer jusqu’à 20 000 point d’accès.

 

 

Interview Magali Bohn : senior director WW chanels SentinelOne


1/ Quels éléments différenciateurs pour parler de Next Gen security ?


SentinelOne se demarque de la NextGen Endpoint par l’analyse comportementale. Nous allons alerter l’utilisateur grâce à une inspection en profondeur au niveau du kernel. Contrairement à nos compétiteurs, nous analysons l’action plutôt que le fichier et en cas de déviance nous sommes en mesure de rétablir l’état d’origine des données compromises. Le traitement peut être défini automatiquement et nous disposons déjà de la solution sous Linux, Windows et Mac. Chez SentinelOne, nous pouvons proposer la solution dans le cloud ou sur site.

 

2/ Votre répartition business aujourd’hui ?


Geo : 29% des revenus à l’international (principalement Europe) et 71% aux USA. Sur le "Market segment" : Tout secteur est demandeur et si je regarde la commande moyenne, nous avons progressé de 30 K$ à 58K$. Ce qui prouve que nous intéressons des comptes de plus en plus importants.

 

3/ Votre stratégie en Europe sur 2017 ?

Pays en développement "business": Angleterre, Allemagne et France. A Venir Moyen Orient, Benelux et pays Nordiques. Coté partenaires, nous recrutons plutôt des partenaires dans la sécurité mais pas uniquement dans l’antivirus. Nous privilégions le profil à valeur ajoutée comme notre produit d’ailleurs. Nous développons aussi fortement la filière MSSP.

 

Gérald Delplace  Cyberisques News 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

ESET priorités aux services et à la protection des IoT «  Internet of Target »

Conférence de presse internationale Bratislava 21 et 22 novembre 2016

 


ESET: priorités aux services et à la protection des IoT «  Internet of Target »

 

« Perfectly balanced security » c'est la baseline retenue par ESET à l'occasion du voyage de presse organisé fin novembre à Bratislava siège mondial de l'éditeur slovaque.

 

A l'image de la présentation du « malware researcher » Jean Ian Boutin faites peu de temps avant à Paris pour le lancement de la V10 ( http://cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd ) les managers d' ESET ont renforcé le message « cybersecurity services » à Bratislava les 21 et 22 novembre dernier lors d'un événement avec la presse internationale. ESET, éditeur européen, collabore depuis de nombreuses années via ses chercheurs et labos internationaux avec différents services dont Interpol. Righard Zwienenberg, ESET senior Research Fellow a démontré à Bratislava la présence d'une double cybermenace. D'une part, les cybermenaces s’amplifient sur les IoT ce qui nécessitent de nouveaux services. D'autre part, de nouveaux cyberisques pèsent sur les utilisateurs via des ransomware ciblés pour des opérations de spearphishing visant des cibles spécifiques (fraude au CEO). Là encore de nouveaux services de type Threat Intelligence seront proposés par ESET.

 

Slide-4


« Demain ce seront les utilisateur d'IoT sous android ou autres systèmes en plus des voitures et des drones qui seront ciblés » affirme t-il. « Personne n'est à l'abri pas plus le constructeur Lenovo dont la home page a été récemment hackée que les grands cabinets d'avocats tels que le montre l'affaire des Panama papers ». Sur le comportement a adopter face aux ransomwares, les experts d'ESET s'accordent comme beaucoup d'autres : ne pas payer. Selon eux, l'alternative est simple au delà des méthodes de chiffrement et de back up. « il faut créer des pots de miel avec des fichiers pratiquement vides » affirme Righard Zwienenberg « pour tromper les cyber-attaquants ». En outre précise le chercheur, "il gaut utiliser de styechnologies fiables et légères pour diminuer l'impact sur les traitements. En fiabilite l'absence de faux positifs comme ESET sait le faire cosntitue une performance de plus en plsu appréciée par les entreprises".  


La véritable inquiétude des chercheurs d'ESET se porte sur les méthodes actuelles de propagation des cyberattaques. Objets connectés ? « ils sont 6,4 milliards aujourd'hui, combien demain et avec quel usage pour les cybercriminels ? » s'interroge Peter Kosinar qui ironise sur l'acronyme IoT « Internet of Target me semble plus d'actualité malheureusement » explique t-il en rappelant l'usage des caméras IP pour la dernière attaque DdoS de grande ampleur ( http://www.cyberisques.com/fr/mots-cles-22/591-iot-du-business-mais-pas-de-securite )

 

Slide-1-ESET-NOV-2016

 

 D'autres codes malveillants cible des communautés particulières rappelle Juraj Malcho Chief Research Officer ESET comme Win32/spy.Odlanor « dédié » aux attaques sur les … les joueurs de poker en ligne. Les cyberattaques à des fins politiques plus discrètes demeurent d'actualité. Qu'il s'agisse de liste de prisonniers ukrainiens ou de militaires exemptés, « certains sites sont connus pour faire l'objet d'attention particulière de la part des cyber-assaillants c est le cas avec Truecrypt Russia par exemple » affirme t-il. 

Au delà des multiples zones d'intervention désormais intégrées à la cybersécurité, d'un point de vue plus pragmatique, l'ensemble des intervenants d'ESET a Bratislava reconnaît que les coûts liés à l'insécurité comme une priorité pour les clients BtoB d'ESET.

Slide-3

 


Proposer des services au delà des plates-formes comme la récente annonce sur la V.10 (http://www.cyberisques.com/fr/mots-cles-5/587-eset-nouvelle-version-tpe-home-market-compatible-rgpd
devient une obligation « business » pour les éditeurs ; ESET a d'ailleurs dévoilé à Bratislava son intention de développer des services de Threat Intelligence ( trier, identifier et traiter les alertes et menaces stratégiques en priorité pour chaque clients BtoB abonné). Il y a en effet urgence si l'on considère les derniers chiffres publiés : le coût moyen pour réparer les dégâts d’un seul incident informatique est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises.

@jpbichard

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 


Trois questions à Palo Luka, CTO ESET

Vos équipes de chercheurs savent-elles contourner tous les algorithmes de chiffrement utilisés fin 2016 par les 47 familles de ransomwares et leurs variantes?


Çà dépend des situations et configurations techniques. Dans de nombreux cas, c'est possible. On, a même obtenu une fois la clé de déchiffrement directement en la demandant mais çà reste exceptionnel ; Généralement, il nous faut développer de nouveaux outils pour retrouver ces données. Pour les ransomwares les plus communs, ces outils existent et nos clients en profitent (http://www.welivesecurity.com/2016/11/24/new-decryption-tool-crysis-ransomware/ ) On l'a fait récemment avec Crysis. C'était déjà le cas avec des ransomwares « connus » tels que Petya-Mischa, TeslaCrypt, AutoLocky … ainsi que pour les nombreuses variantes de ces codes malveillants. En revanche, cette approche demeure complexe et certains « chiffrements » résistent.

 

Après les Etats-Unis ou Apple (1) et le FBI se sont opposés sur la confidentialité des données chiffrées, au sein même de l'Union Européenne (2) de nombreuses demandes s'effectuent en faveur de la présence de « backdoors officiels » sur les systèmes de cryptographie afin que certaines « autorités administratives » puissent déchiffrer des informations précises ; Les défenseurs des droits à la vie privée s'y opposent tout comme les communautés techniques expertes en cryptographie. Ces dernières affirment que de telles pratiques affaibliraient les principes de base liés à la cryptographie. Êtes-vous favorable à la présence de backdoors sur les solutions de chiffrement de bout en bout ?


Non absolument pas. Ce serait la fin du chiffrement et de la confiance que l'on place dans les systèmes cryptographiques. En outre rien ne permet d'affirmer que ce sont les services autorisés qui seuls y auraient accès.

 

Le futur du chiffrement passe t-il par les technologies quantiques ?


Bonne question. Je répondrai oui sans hésitation. Nous y croyons et nous y travaillons. Mais avant de parvenir a offrir une solutions intégrant une offre quantique, il faut que les machines, serveurs et calculateurs adoptent cette technologie. Ce ne sera pas avant une bonne dizaine d'années. Pour l'heure en matière d'usage des solutions de chiffrement, je pense que la répartition des clés de chiffrement entre utilisateurs clients et autorité de confiance me parait une bonne solution. Encore faut il s'entendre sur la confiance que l on accorde à ces « Autorités ». Çà prouve que la technologie ne fait pas tout si l on ne tient pas compte des usages et des comportements de tout le monde.

JPB


1 - http://www.telegraph.co.uk/technology/2016/01/21/apples-tim-cook-declares-the-end-of-the-pc-and-hints-at-new-medi/


2 - https://www.gov.uk/government/collections/investigatory-powers-bill

 

Slide-2

 

 

 

Sharon Besser, Vice-Président Products: "Cisco a investit 5 M$ dans Guardicore"

Les Assises 2016 : Guardicore

 

Sharon Besser, Vice-Président Products: "Cisco a investit 5 M$ dans Guardicore"

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

 

1/ Quelle base installée aujourd’hui ?

La base installée est principalement aux Etats Unis, en Israël et sur l’Europe nous avons déjà des clients aux Pays Bas (mission critical cloud). Nous sommes en phase finale avec un large opérateur britannique et avons déployé des POCs en Espagne et Italie. Le ticket d’entrée est de l’ordre de 50 K$ à plusieurs Millions.

 

2/ Quelle stratégie de partenariat ?

Les utilisateurs disposent aujourd’hui de solutions et il est important d’intégrer celles-ci dans notre architecture. Les partenariats avec d’autres fournisseurs de sécurité permettent de valoriser l’existant de nos clients et d’y ajouter la pérennité des investissements précédents. Bien sûr, CheckPoint fut l’un des premiers de par nos origines mais nous avons déjà développé des partenariats avec Cisco, VMware, Citrix. Cisco a investit 5 M$ dans la société. Nous avons aussi travaillé à l’intégration avec d’autres fournisseurs SDN ainsi que sur les plateformes Amazon et Azure.

 

3/ Votre vision à 3 ans du marché et votre positionnement ? 

Nous sommes les seuls à proposer les deux modèles mais nous avons des compétiteurs dans chaque cas. Notre vision nous pousse à devenir le fournisseur de solution globale pour les Datacenters.

 

 

BONUS: 

Les données d’entreprise et processus métiers hébergés dans les Datacenters sont des cibles lucratives pour les cybercriminels. La sécurisation et la gestion d’un data center sont de plus en plus complexe avec des technologies de virtualisation, des clouds privés, publics et Hybrides. Les équipes sécurité ne sont aujourd’hui plus capable de suivre l’activité dans leur data center, avoir la visibilité sur les applications et détecter les process malveillants.

Guardicore propose aujourd’hui une solution composée de 2 modules :
1/ Guardicore Reveal qui permet la visibilité et la définition granulaires de politique de sécurité pour le contrôle des applications et la micro-segmentation sur l’ensemble des charges de travail des Datacenters.
2/ Guardicore Centra qui va sécuriser intérieurement le Datacenter et permettre de détecter, d’analyser et de remédier en temps réel les menaces qui pèsent sur les data-centers.la solution couvre le trafic complet à l’intérieur du Datacenter et s’adapte au fort volume de trafic avec un faible impact sur les performances. La plateforme s’intègre avec les architecture OpenStack, CloudStack et VMware.
Guardicore fournit une visibilité complète de process à process sur l’ensemble du Datacenter et crée un graphe des flux applicatifs entre les actifs (publics ou privés).L’un des atouts de la solution est l’outil de piégeage (deception engine) qui permet de rediriger les connexions infructueuses pour analyse dans un environnement sécurisé.

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires