![© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
1
25 avril - 1 mai 2016
PRINCIPALES FAILLES ET ATTAQUES
Des pirates sympathisants de Daech ont posté une liste de 43 noms et coordonnées de « personnes à
abattre » liées à différents ministères du gouvernement américain, ainsi qu'une liste apparemment
aléatoire de 3 600 personnes à New York.
Le site web de Maisto, un fabricant américain connu de jouets, utilisant le serveur Microsoft IIS et une
version obsolète du CMS Joomla, a été compromis par le kit d'exploitation de vulnérabilités Angler. Le
site a diffusé le logiciel malveillant Bedep puis le logiciel rançonneur CryptXXX.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre ces menaces (Redirection du kit
d'exploitation de vulnérabilités Angler ; Page d'atterrissage du kit d'exploitation de vulnérabilités Angler ; Kit d'exploitation de
vulnérabilités Angler ; Trojan.Win32.Bedep ; Operator.Bedep ; Trojan-Ransom.Win32.CryptXXX).
Dans le cadre de son opération OpAfrica contre la maltraitance et le travail des enfants, et la corruption
dans les pays africains, le groupe de hacktivistes Anonymous a piraté le serveur du ministère des Affaires
étrangères du Kenya, puis a dérobé 1 To de données et en a diffusé des portions dans le web profond, y
compris des documents et des conversations par email sur des questions de sécurité et des accords
commerciaux internationaux.
Le réseau de Goldcorp, une entreprise canadienne d'exploitation aurifère, a été piraté. Les pirates ont
publié environ 15 Go de données confidentielles de la société, y compris des informations de paie et de
budget, des répertoires d'employés et des photos numérisées de passeports, des informations réseau et
des procédures de reprise sur incident.
Des cybercriminels, se faisant passer pour un groupe d'attaques DDoS connu appelé « Armada
Collective », ont contacté des centaines d'entreprises pour exiger un paiement en Bitcoins afin d'éviter
une attaque DDoS. À ce jour, aucune attaque n'a été enregistrée, ce qui sous-entend qu'il s'agissait de
fausses menaces.
RAPPORT THREAT INTELLIGENCE](https://image.slidesharecdn.com/threatintelligencenews2016-05-02-160508120814/85/Rapport-Threat-Intelligence-Check-Point-du-2-mai-2016-1-320.jpg)
![© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
| 2
25 avril - 1 mai 2016
Moins de deux semaines après sa précédente version, une nouvelle version du logiciel rançonneur
TeslaCrypt a vu le jour. Elle comprend une nouvelle demande de rançon ainsi que quelques
modifications et optimisations techniques.
Un logiciel malveillant pour appareils sous Android, nommé Cyber.Police, a été diffusé par un kit
exploitant la vulnérabilité « Towelroot » de 2014, ainsi qu'une autre vulnérabilité révélée par la fuite de
Hacking Team.
Un nouveau logiciel rançonneur, nommé TrueCrypter, comprend une option de paiement en cartes-
cadeaux Amazon en plus de l'option Bitcoin habituelle. Cette variante contient cependant un bug (ou
une fonctionnalité ?) permettant aux victimes de déchiffrer leurs fichiers simplement en cliquant sur le
bouton « payer ». Plusieurs nouvelles familles de logiciels rançonneurs récemment découvertes
comprennent CryptFIle2, qui ne dispose pas d'un système de paiement organisé ni de service de
déchiffrement, BrLock, un verrouilleur d'écran ciblant principalement des utilisateurs russes et exigeant
seulement 1 000 roubles (13 euros), et MM Locker, qui comprend une très longue note de rançon et qui
ajoute l'extension « .locked » aux fichiers chiffrés.
VULNÉRABILITÉS ET CORRECTIFS
Des chercheurs de l'Université de Santa Barbara ont découvert une vulnérabilité dans Waze permettant
à des pirates de créer des milliers de « conducteurs fantômes » pouvant être utilisés pour surveiller et
suivre les conducteurs autour d'eux en temps réel. Waze a émis une déclaration expliquant certaines
idées erronées au sujet de cette étude.
Deux chercheurs en sécurité ont découvert une vulnérabilité de contournement d'authentification dans
Office 365, qui permettrait à un agresseur possédant un domaine hébergé sur la plate-forme Office 365
de pirater toute autre entreprise ayant une plate-forme similaire, en ajoutant simplement un compte de
messagerie de l'entreprise ciblée. Microsoft a publié un correctif quelques heures après avoir été avisé
et travaille sur une solution permanente.
Une exploitation de la récente vulnérabilité Microsoft Windows (CVE-2016-0018) signalée et corrigée a
été démontrée par les chercheurs qui l'ont découverte, à l'aide d'un objet OLE incorporé dans des
fichiers Word ou RTF et permettant l'exécution de code arbitraire via une fausse DLL, même sans
interaction de la part des utilisateurs.
La blade Check Point IPS offre une protection contre cette vulnérabilité (Exécution de code à distance de chargement de DLL
Microsoft Windows (MS16-007 : CVE-2016-0018)).](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (8)
En vedette
En vedette (9)
Similaire à Rapport Threat Intelligence Check Point du 2 mai 2016
Similaire à Rapport Threat Intelligence Check Point du 2 mai 2016 (20)
Rapport Threat Intelligence Check Point du 2 mai 2016
- 1. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels 1 25 avril - 1 mai 2016 PRINCIPALES FAILLES ET ATTAQUES Des pirates sympathisants de Daech ont posté une liste de 43 noms et coordonnées de « personnes à abattre » liées à différents ministères du gouvernement américain, ainsi qu'une liste apparemment aléatoire de 3 600 personnes à New York. Le site web de Maisto, un fabricant américain connu de jouets, utilisant le serveur Microsoft IIS et une version obsolète du CMS Joomla, a été compromis par le kit d'exploitation de vulnérabilités Angler. Le site a diffusé le logiciel malveillant Bedep puis le logiciel rançonneur CryptXXX. Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre ces menaces (Redirection du kit d'exploitation de vulnérabilités Angler ; Page d'atterrissage du kit d'exploitation de vulnérabilités Angler ; Kit d'exploitation de vulnérabilités Angler ; Trojan.Win32.Bedep ; Operator.Bedep ; Trojan-Ransom.Win32.CryptXXX). Dans le cadre de son opération OpAfrica contre la maltraitance et le travail des enfants, et la corruption dans les pays africains, le groupe de hacktivistes Anonymous a piraté le serveur du ministère des Affaires étrangères du Kenya, puis a dérobé 1 To de données et en a diffusé des portions dans le web profond, y compris des documents et des conversations par email sur des questions de sécurité et des accords commerciaux internationaux. Le réseau de Goldcorp, une entreprise canadienne d'exploitation aurifère, a été piraté. Les pirates ont publié environ 15 Go de données confidentielles de la société, y compris des informations de paie et de budget, des répertoires d'employés et des photos numérisées de passeports, des informations réseau et des procédures de reprise sur incident. Des cybercriminels, se faisant passer pour un groupe d'attaques DDoS connu appelé « Armada Collective », ont contacté des centaines d'entreprises pour exiger un paiement en Bitcoins afin d'éviter une attaque DDoS. À ce jour, aucune attaque n'a été enregistrée, ce qui sous-entend qu'il s'agissait de fausses menaces. RAPPORT THREAT INTELLIGENCE
- 2. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels | 2 25 avril - 1 mai 2016 Moins de deux semaines après sa précédente version, une nouvelle version du logiciel rançonneur TeslaCrypt a vu le jour. Elle comprend une nouvelle demande de rançon ainsi que quelques modifications et optimisations techniques. Un logiciel malveillant pour appareils sous Android, nommé Cyber.Police, a été diffusé par un kit exploitant la vulnérabilité « Towelroot » de 2014, ainsi qu'une autre vulnérabilité révélée par la fuite de Hacking Team. Un nouveau logiciel rançonneur, nommé TrueCrypter, comprend une option de paiement en cartes- cadeaux Amazon en plus de l'option Bitcoin habituelle. Cette variante contient cependant un bug (ou une fonctionnalité ?) permettant aux victimes de déchiffrer leurs fichiers simplement en cliquant sur le bouton « payer ». Plusieurs nouvelles familles de logiciels rançonneurs récemment découvertes comprennent CryptFIle2, qui ne dispose pas d'un système de paiement organisé ni de service de déchiffrement, BrLock, un verrouilleur d'écran ciblant principalement des utilisateurs russes et exigeant seulement 1 000 roubles (13 euros), et MM Locker, qui comprend une très longue note de rançon et qui ajoute l'extension « .locked » aux fichiers chiffrés. VULNÉRABILITÉS ET CORRECTIFS Des chercheurs de l'Université de Santa Barbara ont découvert une vulnérabilité dans Waze permettant à des pirates de créer des milliers de « conducteurs fantômes » pouvant être utilisés pour surveiller et suivre les conducteurs autour d'eux en temps réel. Waze a émis une déclaration expliquant certaines idées erronées au sujet de cette étude. Deux chercheurs en sécurité ont découvert une vulnérabilité de contournement d'authentification dans Office 365, qui permettrait à un agresseur possédant un domaine hébergé sur la plate-forme Office 365 de pirater toute autre entreprise ayant une plate-forme similaire, en ajoutant simplement un compte de messagerie de l'entreprise ciblée. Microsoft a publié un correctif quelques heures après avoir été avisé et travaille sur une solution permanente. Une exploitation de la récente vulnérabilité Microsoft Windows (CVE-2016-0018) signalée et corrigée a été démontrée par les chercheurs qui l'ont découverte, à l'aide d'un objet OLE incorporé dans des fichiers Word ou RTF et permettant l'exécution de code arbitraire via une fausse DLL, même sans interaction de la part des utilisateurs. La blade Check Point IPS offre une protection contre cette vulnérabilité (Exécution de code à distance de chargement de DLL Microsoft Windows (MS16-007 : CVE-2016-0018)).
- 3. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels | 3 25 avril - 1 mai 2016 Une nouvelle vulnérabilité du framework d'applications web Struts 2 d'Apache a été révélée. Elle permet l'exécution de code à distance et est déjà en cours d'exploitation. La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance de méthode dynamique dans Struts (CVE-2016-3081)). RAPPORTS ET MENACES Deux nouveaux services sont en mesure d'aider les victimes de logiciels rançonneurs : un site web identifiant plus de 60 familles de logiciels rançonneurs selon la note de rançon ou un échantillon de fichier chiffré, et un outil de déchiffrement pour les familles Rannoh, AutoIt, Fury, Crybola, Cryakl et CryptXXX. Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre les variantes connues de ces menaces. Après des années de conjectures, l'entrepreneur australien Craig Wright s'est déclaré comme étant le créateur du Bitcoin, en montrant notamment des Bitcoins ne pouvant être détenus que par leur créateur. Sa déclaration a également été confirmée par d'autres membres de l'équipe de développement et la communauté Bitcoin. Commentaires ou questions : info_fr@checkpoint.com