Un gang de pirates informatiques Russes spécialisés dans le pillage de banques démantelé

Une cinquantaine d’interpellations en Russie ont abouti au démantèlement d’un réseau de cybercriminels surnommé Lurk. Un nom qui découle de l’emploi d’un cheval de Troie identifié en 2012.

À l’époque, Kaspersky Lab avait évoqué le cas de Lurk dans des attaques drive-by. Conçu pour voler des données sensibles d’utilisateurs afin d’obtenir un accès à des services de banques en ligne russes, le malware n’était pas téléchargé sur le disque dur et opérait uniquement dans la mémoire RAM.

Threatpost (Kaspersky Lab) écrit que Lurk a commencé à attaquer des banques il y a un an et demi, et a rapatrié divers malwares de serveurs de commande et contrôle. Les attaquants ont utilisé un VPN compromis afin de rendre leur campagne plus difficile à détecter.

Grâce à Lurk, les cybercriminels ont dérobé plus de 1,7 milliard de roubles (près de 22 millions d’euros) à des comptes d’institutions financiers russes, a indiqué le FSB (l’ancien KGB) à l’agence de presse russe TASS.
Article original de Jérôme GARAY

Réagissez à cet article

Skimer, la nouvelle menace pour distributeurs de billets

Imaginons qu’une banque découvre avoir été victime d’une attaque. Étrangement, aucune somme d’argent n’a été dérobée et rien n’a été modifié dans son système. Les criminels sont partis comme ils sont venus. Serait-ce possible ? Je vous parlais de ce type d’attaque l’année dernière. L’éditeur Gdata m’avait invité en Allemagne pour découvrir l’outil malveillant qui permettait de pirater un distributeur de billets. Aujourd’hui, l’équipe d’experts de Kaspersky Lab a mis au jour le scenario imaginé par les cybercriminels et découvert des traces d’une version améliorée du malware Skimer sur l’un des DAB d’une banque. Il avait été posé là et n’avait pas été activé jusqu’à ce que les criminels lui envoient un contrôle : une façon ingénieuse de couvrir leurs traces.

Le groupe Skimer commence ses opérations en accédant au système du DAB, soit physiquement, soit via le réseau interne de la banque visée. Ensuite, après été installé avec succès dans le système, l’outil Backdoor.Win32.Skimer, infecte le cœur de l’ATM, c’est-à-dire le fichier exécutable en charge des interactions entre la machine et l’infrastructure de la banque, de la gestion des espèces et des cartes bancaires.

Ainsi, les criminels contrôlent complètement les DAB infectés. Mais ils restent prudents et leurs actions témoignent d’une grande habileté. Au lieu d’installer un skimmer (un lecteur de carte frauduleux qui se superpose à celui du DAB) pour siphonner les données des cartes, les criminels transforment le DAB lui-même en skimmer. En infectant les DAB avec Backdoor.Win32.Skimer, ils peuvent retirer tout l’argent disponible dans le distributeur ou récupérer les données des cartes des utilisateurs qui viennent retirer de l’argent, y compris le numéro de compte et le code de carte bancaire des clients de la banque.

Il est impossible pour un individu lambda d’identifier un DAB infecté car aucun signe de le distingue d’un système sain, contrairement à un DAB sur lequel a été posé un skimmer traditionnel qui peut être repéré par un utilisateur averti.

Un zombie dormant
Les retraits directs depuis un DAB ne peuvent pas passer inaperçu alors qu’un malware peut tranquillement siphonner des données pendant une longue période. C’est pourquoi le groupe Skimer n’agit pas immédiatement et couvre ses traces avec beaucoup de prudence. Leur malware peut opérer pendant plusieurs mois sans entreprendre la moindre action.

Pour le réveiller, les criminels doivent insérer une carte spécifique, qui contient certaines entrées sur sa bande magnétique. Après lecture de ces entrées, Skimer peut exécuter la commande codée en dur ou requérir des commandes via le menu spécial activé par la carte. L’interface graphique de Skimer n’apparaît sur l’écran qu’une fois la carte éjectée et si les criminels ont composé la bonne clé de session, de la bonne façon, sur le pavé numérique en moins de 60 secondes.

À l’aide du menu, les criminels peuvent activer 21 commandes différentes, comme distribuer de l’argent (40 billets d’une cassette spécifique), collecter les données des cartes insérées, activer l’auto-suppression, effectuer une mise à jour (depuis le code du malware mis à jour embarqué sur la puce de la carte), etc. D’autre part, lors de la collecte des données de cartes bancaires, Skimer peut sauvegarder les fichiers dumps et les codes PIN sur la puce de la même carte, ou il peut imprimer les données de cartes collectées sur des tickets générés par le DAB.

Dans la plupart des cas, les criminels choisissent d’attendre pour collecter les données volées afin de créer des copies de ces cartes ultérieurement. Ils utilisent ces copies dans des DAB non infectés pour retirer de l’argent sur les comptes clients sans être inquiétés. De cette manière, ils s’assurent que les DAB infectés ne seront pas découverts. Et ils récupèrent de l’argent simplement.

Des voleurs expérimentés
Skimer a été largement répandu entre 2010 et 2013. À son arrivée correspond une augmentation drastique du nombre d’attaques sur des distributeurs automatiques de billets, avec jusqu’à neuf différentes familles de malwares identifiées par Kaspersky Lab. Cela inclut la famille Tyupkin, découverte en mars 2014, qui est devenue la plus populaire et la plus répandue. Cependant, il semblerait maintenant que Backdoor.Win32.Skimer soit de retour. Kaspersky Lab identifie 49 modifications de ce malware, dont 37 ciblent les DAB émanant de l’un des plus importants fabricants. La version la plus récente a été découverte en mai 2016.

En observant les échantillons partagés avec VirusTotal, on note que les DAB infectés sont répartis sur une large zone géographique. Les 20 derniers échantillons de la famille Skimer ont été téléchargés depuis plus de 10 régions à travers le monde : Émirats Arabes Unis, France, États-Unis, Russie, Macao, Chine, Philippines, Espagne, Allemagne, Géorgie, Pologne, Brésil, République Tchèque… [Lire la suite]
Remarquable article de Damien Bancal

Réagissez à cet article

Un caïd du ransomware gagne 90 000 dollars par an

Fournisseur d’analyses des Deep et Dark web, Flashpoint a étudié les dessous d’une campagne de « ransomware-as-a-service » (RaaS) pilotée, selon lui, par des escrocs russes. Le RaaS consiste pour l’auteur du rançongiciel à proposer à d’autres de diffuser des versions personnalisées de son programme pour chiffrer les données et verrouiller les terminaux d’utilisateurs. Les cibles sont appelées à payer en cryptomonnaie pour reprendre le contrôle de leurs données. La rançon est perçue par l’auteur du ransomware qui la partagera ensuite avec les diffuseurs.

C’est ainsi qu’une pointure des ransomwares en Russie aurait mené la campagne RaaS étudiée ces cinq derniers mois par Flashpoint. L’auteur de la campagne, qui ciblait des entreprises occidentales et des particuliers depuis au moins 2012, selon Flashpoint, aurait recruté des diffuseurs du programme ayant pour mission de trouver et infecter des cibles en échange d’un pourcentage sur les profits générés. Les novices étaient également invités à se lancer, sans frais d’entrée, le programme malveillant à diffuser étant accompagné d’instructions détaillées qu’un « écolier » pourrait suivre.

L’appât du gain

Le « patron » russe aurait ainsi recruté 10 à 15 « affiliés » chargés de diffuser le code de son ransomware. Soit en achetant un accès à des ordinateurs infectés, soit en passant par des serveurs insécurisés, ou du spam, ou encore en leurrant des utilisateurs de sites de rencontre et réseaux sociaux. Une fois que le code est installé et s’exécute, son auteur se charge des communications avec les victimes pour obtenir une rançon d’un montant moyen de 300 dollars par clé de déchiffrement et par victime, mais une somme additionnelle peut être exigée avant l’envoi de la clé.

Pour le paiement, la cryptomonnaie Bitcoin a été utilisée. 40 % des fonds ainsi détournés auraient été partagés entre les affiliés et 60 % seraient revenus au pilote de la campagne. Le « boss du ransomware » aurait ainsi empoché 7 500 dollars par mois en moyenne (90 000 dollars par an) et ses affiliés près de 600 dollars par mois chacun. Cela représente près de 30 paiements de rançon par mois.

« Nos résultats contestent la perception commune de cybercriminels hors du commun, éclairés, aisés, inaccessibles, inexposables et inarrêtables », soulignent les auteurs de l’étude. Et « Les montants des revenus du ransomware ne sont pas aussi séduisants et juteux » que l’on pourrait le croire. Il n’empêche, ces montants sont bien supérieurs au salaire moyen russe passé, selon une analyse de la Sberbank citée par RFI, de 1058 dollars par mois en 2012 à 433 dollars par mois en 2016.

crédit photo © frank_peters / Shutterstock.com

Article original de Ariane Beky  

Réagissez à cet article

Les géants du web ensemble pour bloquer les contenus illégaux

Les contenus illégaux bientôt bannis d’Internet ?
Depuis de longs mois maintenant, la Commission Européenne s’était fixée comme objectif d’éradiquer une majorité des propos haineux circulant sur la Toile.

Dans ce cadre, elle est parvenue à un accord avec YouTube, Microsoft, Twitter et Facebook pour l’établissement et le respect d’un code de conduite. Ainsi, les différents acteurs se sont engagés à bloquer les contenus gênants dans les 24 heures suivant leur signalement officiel.

En acceptant ce code de conduite pour bloquer les contenus illégaux, les acteurs du web montrent qu’ils ont bien conscience que leurs outils sont utilisés pour diffuser la violence et la haine mais aussi pour recruter des individus susceptibles de rejoindre leurs groupes.

Point positif, ce code de conduite ne vient pas entraver la liberté d’expression sur la Toile, celle-ci étant très importante en particulier pour les géants du web qui l’ont toujours prônée.

Un code de conduite pas suffisant selon les associations de défense des droits

Si la Commission Européenne s’est d’ores et déjà réjouie de l’accord trouvé avec les grandes entreprises du web, celui-ci ne fait assurément pas que des heureux.

En effet, Access Now et European Digital Rights (EDRi), deux associations de défense des droits, ont vivement critiqué cet accord estimant qu’il se contente de rappeler des règles déjà existantes à savoir celles qui consistent à supprimer des contenus illégaux.

Selon ces associations, il aurait donc fallu que le texte aille beaucoup plus loin et qu’il prévoit des poursuites contre ceux qui profèrent des propos haineux sur la Toile. En effet, Joe McNamee, Directeur Exécutif de l’EDRi, juge qu’« il est ironique que la Commission menace les Etats membres de les traduire en justice pour ne pas respecter les lois contre le racisme et la xénophobie alors qu’ils persuadent des entreprises comme Google et Facebook de glisser les infractions sous le tapis ».

Tout est dit…
Article original

Réagissez à cet article

Sensibilisation aux Arnaques à la Loterie

Campagne Paypal France 2016

Réagissez à cet article

Euro 2016 et sécurité informatique, quelques conseils face à quelques risques…

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro).
Auteur : Damien Bancal

Réagissez à cet article

L’État crée encore un nouveau fichier secret de données personnelles

Le gouvernement a fait publier vendredi au Journal Officiel un décret n° 2016-725 du 1er juin 2016 qui ajoute un 13e fichier à la liste des fichiers confidentiels de données personnelles mis en œuvre par l’État, « intéressant la sûreté de l’Etat, la défense ou la sécurité publique ».

Comme le veut la règle, on ne sait strictement rien de ce fichier si ce n’est qu’il est baptisé « BCR-DNRED » et sera utilisé par les « services du ministère des finances et des comptes publics (administration des douanes et droits indirects) traitant de la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la prolifération des armes de destruction massive ».

L’acronyme BCR-DNRED est sans aucun doute une référence à la Direction nationale du renseignement et des enquêtes douanières (DNRED), rattachée à Bercy. Considérée comme un service de renseignement, elle est chargée notamment de collecter des informations sur les les grands trafics de contrebande, et de lutter contre les flux financiers clandestins.

UN FICHIER CONTRE LE TRAFIC

On imagine donc que le fichier BCR-DNRED s’inscrit dans une politique de croisement d’informations concernant de possibles trafics internationaux illicites de biens ou d’argent qui transitent par la France, avec une orientation plus spécifique vers la recherche de financements de crimes graves.

La Cnil, qui n’a pas le droit de publier son avis, a émis un avis « favorable avec réserve », ce qui veut dire qu’elle a estimé qu’au moins sur certains points, le fichier projeté n’était pas conforme à la loi de 1978 sur la protection des données personnelles. Elle avait déjà émis des réserves non publiées concernant les deux derniers fichiers créés par l’État, le fichier CAR relatif au suivi des prisonniers créé en novembre 2015, et le Fichier de traitement des Signalés pour la Prévention et la Radicalisation à caractère Terroriste (FSPRT) modifié quelques jours plus tôt.

Article original de Guillaume Champeau 

Réagissez à cet article

Microsoft supprimerait carrément la possibilité de refuser Windows 10

Le site britannique The Register publie ainsi la capture d’écran réalisée par un lecteur, qui montre qu’en lieu et place de la popup, Windows 7 lui a affiché une fenêtre qui impose de programmer une mise à jour vers Windows 10, avec un réglage de la date et de l’heure de l’opération. Il y a deux boutons sur la fenêtre ; le premier qui permet de confirmer la date et l’heure saisis ; le deuxième qui permet de demander une mise à jour immédiate.

Il n’y a aucun autre bouton pour refuser la mise à jour, ni de bouton « X » pour fermer la fenêtre (ce que Microsoft prenait de toute façon pour un accord).

COMMENT FAIRE ?

Les utilisateurs qui souhaitent refuser la mise à jour pourront toujours mettre une date de programmation très lointaine. Notez qu’au pire, en cas de mise à jour involontaire, il est possible de revenir vers Windows 7 ou Windows 8 en refusant d’accepter les conditions d’utilisation de Windows 10, présentées lors du premier lancement du système d’exploitation.

Le refus entraîne en effet une annulation de l’installation de Windows 10 puisque, même s’il peut forcer l’installation des fichiers du système, Microsoft ne peut pas encore obliger l’utilisateur à accepter son contrat.

La mise à jour vers Windows 10 reste gratuite jusqu’au 29 juillet 2016. Il faudra ensuite payer une licence. Notez que si vous avez déjà effectué la mise à jour et que vous devez réinstaller votre système, la gratuité de Windows 10 ne vaudra que si vous réinstallez l’OS sur le même ordinateur, reconnu par ses principaux composants. En cas de changement de carte mère ou de processeur par exemple, il devrait être imposé d’acheter la licence de Windows 10, auquel vous vous serez habitué…

Auteur : Guillaume Champeau

Réagissez à cet article

Les pays arabes mutualisent leurs forces pour faire face à la cybercriminalité 

La rencontre qui devrait être clôturée vendredi dernier vise à évaluer la prédisposition des Etats concernés à faire face aux attaques informatiques d’après le président du Centre arabe régional de la cybersécurité.
(CIO Mag) – Un atelier sur la sécurité informatique réunit les pays arabes depuis lundi dernier à Tunis. La rencontre qui devrait être clôturée ce vendredi vise à évaluer la prédisposition des Etats concernés à faire face aux attaques informatiques d’après le président du Centre arabe régional de la cybersécurité cité par le webmanagercenter.com.
Le directeur général de l’agence tunisienne de sécurité informatique, lui, indique que Tunis a pris très tôt des initiatives pour lutter contre la cybercriminalité. Mohamed Naoufel Frikha, repris par nos confrères, rappelle qu’un travail important a été réalisé depuis 1999 avec la création du premier centre en Afrique, le troisième dans le monde arabe.
Le rendez-vous de Tunis entend amener les pays arabes à créer des centres de cyber-alerte. Leur nombre est très insuffisant dans l’espace arabophone puisque seuls dix pays en disposent. Des représentants de treize Etats prennent part aux échanges.

Article de Ousmane Gueye

Réagissez à cet article

Pour prévenir les violences, un sénateur veut un fichier des interdits de manifester

Manifester paisiblement, oui, dans la violence, non. Tel est l’angle du texte déposé la semaine dernière par le parlementaire de l’opposition. Son auteur réprouve le fait que désormais, « les forces de l’ordre sont, de façon répétée, prises pour cible à l’occasion de ces rassemblements ». Et selon lui, « un palier dans l’expression de la violence a été franchi, le 18 mai dernier, au cours d’une manifestation interdite lors de laquelle deux fonctionnaires de police ont été lâchement pris à partie et violemment agressés ».

Dirigée contre les « casseurs », dixit son introduction, cette PPL s’inspire du mécanisme existant à l’encontre des hooligans. le premier article veut ainsi permettre aux préfets de prononcer une mesure d’interdiction de manifester à l’encontre de toute personne « ayant pris une part active dans un précédent attroupement en cherchant à entraver, par la force ou la violence, l’action des pouvoirs publics » ou « impliquée dans la commission d’un acte de dégradation ou de violence à l’occasion de l’une de ces manifestations ». L’arrêté s’étendrait jusqu’à 12 ou 24 mois selon le comportement de la personne.

Un fichier des interdits de manifester

Pour épauler l’interdiction, qui doit être validée par un vote de l’Assemblée nationale et du Sénat, un traitement automatisé serait nourri de ces arrêtés d’interdiction, mais aussi des noms des personnes condamnées à la peine d’interdiction de participer à des manifestations sur la voie publique (L. 211-13 Code de la sécurité intérieure).

Après passage par la CNIL, sa finalité serait « de prévenir les troubles à l’ordre public, les atteintes à la sécurité des personnes et des biens ainsi que les infractions susceptibles d’être commises à l’occasion des manifestations sur la voie publique et des rassemblements en lien avec ces manifestations se tenant dans le ressort de leur département ».

Accentuation du périmètre de la « vidéoprotection »

Ce n’est pas tout. L’article 3 vient modifier le régime de la « vidéoprotection ». À ce jour, le Code de la sécurité intérieure autorise « la transmission et l’enregistrement d’images prises sur la voie publique » lorsqu’il s’agit d’assurer « la protection des bâtiments et installations publics et de leurs abords », « la sauvegarde des installations utiles à la défense nationale », « la constatation des infractions aux règles de la circulation », la prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés, ou encore la prévention d’actes de terrorisme.

La proposition de loi aimerait ajouter au long inventaire, « la prévention des troubles à l’ordre public en cas de manifestation sur la voie publique, au besoin au moyen de dispositifs mobiles ». Pourquoi ? Selon le parlementaire, « visionner la voie publique ou un lieu ouvert au public n’est possible que dans des cas et pour des motifs définis par la loi. [Cet article] rend possible la mise en œuvre d’un système de vidéo-protection sur le parcours et aux abords immédiats d’une manifestation. Afin d’assurer la faisabilité technique du dispositif, il est prévu de recourir à des caméras mobiles. L’arrêté d’autorisation déterminera la position de chacune des caméras et la période de temps au cours de laquelle le dispositif pourra être utilisé. »

« Des objets susceptibles de constituer une arme »

La PPL s’intéresse tout autant au Code pénal, et spécialement à l’article concernant la participation délictueuse à une manifestation. Aujourd’hui, il punit de trois ans de prison de prison et 45 000 euros d’amende le fait d’y prendre part en étant porteur d’une arme.

Pour mieux assurer la préservation de l’ordre public, Bruno Retailleau y ajoute le fait « d’introduire, de détenir ou de faire usage de fusées ou artifices de toute nature ou d’introduire sans motif légitime tous objets susceptibles de constituer une arme » et celui « de jeter un projectile présentant un danger pour la sécurité des personnes dans une manifestation sur la voie publique», sachant que « la tentative de ces délits [sera] punie des mêmes peines ».

Toujours dans cette optique, elle rêve également d’instaurer une prune de 3 750 euros pour quiconque aura introduit ou consommé de l’alcool dans une manifestation sur la voie publique ou participé à une telle réunion « en état d’ivresse ».

Provocation à la haine contre les policiers

Outre un élargissement des possibilités d’interdire une personne à participer à des réunions et une obligation de pointage pour les personnes condamnées par un tribunal, la loi de 1881 sur la presse profite également d’une mise à jour. L’idée ? Eriger en infraction le fait de provoquer à la discrimination, à la haine ou à la violence à l’égard d’une personne « à raison de sa profession » (jusqu’à un an d’emprisonnement ou/et de 45 000 euros d’amende).

Pour le cas présent, la profession visée est évidemment celle des gendarmes et des policiers. Seront donc concernés ceux qui auront incité, notamment sur Internet, à la haine à l’égard des forces de l’ordre. Le dernier article prévoit d’ailleurs d’instaurer une période de sûreté pour les auteurs de violences contre elles.

S’assembler oui, mais « paisiblement »

Pour justifier son texte, Retailleau se souvient que « l’article 7 de la Déclaration des droits de l’homme et du citoyen consacre ‘le droit de s’assembler paisiblement’ ». Dans le texte fondateur, le principe est plutôt inscrit à l’article 10 (« Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l’ordre public établi par la Loi »).

Les adversaires d’un tel dispositif se rappelleront que la Déclaration de 1789 prévoit aussi que « la Loi ne doit établir que des peines strictement et évidemment nécessaires » (article 8) sachant que quiconque a le droit de résister à l’oppression (article 2) et que « la garantie des droits de l’Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l’avantage de tous, et non pour l’utilité particulière de ceux auxquels elle est confiée » (article 12).

 
Merci à Marc Rees, auteur de cet article

Réagissez à cet article