Ce malware infecte les départements des ressources humaines des entreprises en se faisant passer pour une candidature spontanée. L’utilisateur ne peut plus accéder à son ordinateur dès lors qu’il a été infecté.

Une nouvelle variété de ransomware vient d’être détectée par plusieurs chercheurs en sécurité. Baptisé « Petya », il ne contente pas de chiffrer les données personnelles, mais bloque carrément l’accès à l’ordinateur. L’utilisateur ne peut plus lancer Windows sauf, évidemment, s’il paye une rançon d’environ un bitcoin (soit 367 euros). Les pirates semblent cibler surtout les entreprises. Le malware arrive au travers d’un email envoyé aux départements des ressources humaines. Voici un exemple rédigé en allemand.
GData -Gdata -


Le message a l’air d’une candidature spontanée avec, à la fin, un lien Dropbox sur lequel le destinataire pourra télécharger le CV. Ce dernier est en réalité un exécutable malveillant qui va infecter l’ordinateur en deux phases, comme l’explique la chercheuse polonaise Hasherezade.


Dans une première phase, Petya va écraser le début du disque et, en particulier, le Master Boot Record (MBR) qui permet à l’ordinateur de démarrer. Parallèlement, il effectue une sauvegarde chiffrée de la table de partitionnement. Le chiffrement n’est pas très complexe : il s’agit simplement d’un codage en XOR. A ce stade, les dégâts ne sont donc pas insurmontables. L’utilisateur pourrait extraire les disques de l’ordinateur, les monter au travers d’un autre système d’exploitation (Linux par exemple) et réaliser une copie de sauvegarde complète.
Les choses se compliquent lors de la seconde phase. Après avoir écrasé le MBR, le malware provoque un écran bleu de la mort et un redémarrage de l’ordinateur. S’affiche alors un écran qui simule une vérification de disque (CHKDSK). En réalité, le malware est en train de modifier le système de fichiers de l’ordinateur et de chiffrer partiellement son contenu. Par la suite, une tête de mort est affichée, suivi d’un message qui explique comment payer la rançon. A ce stade, l’accès aux données n’est plus possible, en tous cas pas de manière simple. Contrairement à ce qu’affirme le pirate, « il n’est pas vrai que le disque soit entièrement chiffré. Si nous utilisons des outils d’analyse forensique, nous voyons beaucoup d’éléments valides, dont du texte », souligne Hasherezade.
Gdata -GData -GData -Le fait que les pirates utilisent Dropbox pour diffuser leur malware est assez malin. D’une part, cela leur évite d’intégrer une pièce jointe dans l’email qui risque d’être détecté par l’antivirus. Dropbox, par ailleurs, est assez connu en entreprise et, surtout, c’est un domaine web qui ne provoque pas de blocage au niveau des pare-feux. C’est un domaine de confiance.
« Au-delà de l’utilisation du lien Dropbox, les hackers passent ici sur une technique beaucoup plus efficace de social engineering. Jusqu’à présent, la mode était aux fausses factures à payer. Cette technique ayant perdu en efficacité, grâce aux relais d’information et notamment grâce aux média, la technique de la fausse candidature est excellente. Quoi de plus normal que de recevoir un email avec un document word en pièce jointe pour un email de candidature, ou un CV à télécharger via un lien ? Quoi de plus normal qu’une candidature spontanée de la part d’une personne que l'on ne connaît pas ? De plus, les adresses e-mail qui permettent de postuler dans une entreprise sont souvent disponibles publiquement sur son site web et diffusées à de nombreuses personnes en interne. Il y a fort à parier que nous retrouverons prochainement des vagues de ransomware utilisant cette technique de propagation », explique Florian Coulmier, responsable production et cyber criminalité de Vade Retro Technology.
Un conseil que l’on peut donc donner est de ne jamais télécharger un fichier depuis une source inconnue. Et si cela n’est pas possible, pour des raisons professionnelles comme ici, il faut imaginer un dispositif permettant de télécharger les fichiers de manière sécurisée, par exemple sur une machine dédiée et déconnectée ne comportant pas de données importantes, ou sur une machine virtuelle.
Mise à jour le 4 avril: L'entreprise Dropbox tient à signaler qu'elle a supprimé les liens qui menait vers le malware aussi rapidement que possible et qu'elle prenait cette utilisation abusive de son service très au sérieux. « Une équipe dédiée travaille en continu pour surveiller et prévenir tout usage frauduleux de Dropbox. Bien que ces attaques ne soient pas liées à une faille de sécurité de Dropbox, une enquête est en cours et des procédures ont été mises en place pour faire cesser ces activités illégales de manière proactive, dès leur apparition. En outre, nous avons dernièrement publié un article sur les conseils à adopter pour garantir la sécurité des utilisateurs sur Internet. »


**Contenu caché: Cliquez sur Thanks pour afficher. **





Et si votre navigateur était bloqué parce que vous vous êtes fait choper en train de pirater ? Cette idée peut vous paraître folle et pourtant elle pourrait bien se concrétiser. Plus précisément, le navigateur de l’utilisateur pratiquant le piratage pourrait être détourné. Explications.

Cette information surprenante, c’est le site Torrentfreak qui nous la révèle. Cette idée de faire participer les géants du web à la lutte contre le piratage a été imaginée par l’entreprise Rightscorp qui est une société liée à l’industrie du divertissement. Le principe est simple : faire participer les créateurs de navigateurs Firefox, Google Chrome, Safari ou encore Edge à lutte contre piratage. Les fournisseurs d’accès à internet seraient aussi de la partie.


Rightscorp aurait donc besoin de l’aide de ces acteurs pour détourner l’usage des navigateurs dès lors qu’ils détectent une pratique illicite sur le web. En fait, il s’agirait de présenter un système de type « ransomware » qui empêcherait donc l’internaute d’utiliser son navigateur le temps qu’il n’aura pas payer une amende aux ayants droit pour piratage de leurs contenus.
Dans ce système de droit d’auteur adaptable, les abonnés reçoivent chaque préavis de règlement directement dans leur navigateur (…) Son implémentation aura besoin de l’accord des fournisseurs d’accès. Nous avons eu des discussions avec plusieurs d’entre eux sur la mise en place de ce système et avons l’intention d’intensifier ces efforts. Ils ont la technologie pour afficher nos avertissements sur les navigateurs de leurs abonnés. – Rightscorp –
Rightscorp ne préconise pas un blocage mais immédiat mais un système reposant sur plusieurs avertissements sur une période bien précise. Par exemple un utilsiateur qui aurait téléchargé 10 contenus illégalement en un mois serait sanctionné et ne pourrait alors utiliser son navigateur que s’il paie une amende.
Mais pour y parvenir, la société a également besoin des FAI qui leur fourniront les informations nécessaires pour accéder aux contenus des abonnés comme c’est le cas avec Hadopi. La question de la vie privée se pose alors puisque Rightscorp est une société privée.
Par ailleurs, même si l’idée de Righscorp peut être intéressante, elle sera confrontée à des barrières de taille. D’abord en terme de vie privée, mais également sur le principe même du « ransomware ». Ce système de rançon qui prend l’utilisateur en otage est relativement discutable.
Mais le plus gros problème reste technique. Car si les internautes utilisent un VPN ou s’il modifie les serveurs DNS, il pourra détourner le système proposé par Rightscorp en quelques secondes. Et même sans cela, le simple fait de passer par un système de partage peeer-to-peer comme BitTorrent par exemple permettra à l’internaute de ne pas être repéré. Autant dire que l’idée de Rightscorp risque de toucher seulement une petite partie des utilisateurs pirates.


**Contenu caché: Cliquez sur Thanks pour afficher. **