Actualités de la sécurité

Le ransomware MedusaLocker gèle des fichiers du monde entier

Avast Security News Team, 25 octobre 2019

Aussi : les autorités neutralisent une arnaque de 10 millions d’euros, des pirates prouvent qu’Alexa et Google Home sont vulnérables ; un cybercriminel est condamné pour avoir compromis le système d'une Cour supérieure des États-Unis.

Des chercheurs ont identifié une nouvelle souche de ransomware qui se répand dans le monde entier. Bleeping Computer a signalé que MedusaLocker (le nom de la nouvelle souche) a été observée pour la première fois en septembre 2019. Ce ransomware infecte chaque jour plus d'ordinateurs, bien que ses méthodes d'infection demeurent inconnues. Une fois infiltré dans une machine, il parcourt systématiquement une liste de commandes pour rendre la machine aussi vulnérable que possible et pour optimiser l’emprise du ransomware sur les données. Il s’assure d’abord de pouvoir accéder à tous les lecteurs connectés au système. Il arrête ensuite toutes les mesures de sécurité actives pour finalement effacer toutes les sauvegardes de fichiers existantes.

Une fois prêt, il recherche sur les lecteurs des fichiers à prendre en otage et procède au chiffrement. Il se repose ensuite 60 secondes, puis reprend ses recherches de fichiers à chiffrer. Pour rester actif, il programme une tâche planifiée qui exécute le ransomware toutes les trente minutes. Dans chaque dossier contenant des fichiers cryptés, il place une note de rançon (truffée d’erreurs grammaticales). Au lieu de faire une demande financière, la note indique deux adresses e-email auxquelles l'utilisateur doit envoyer un message pour acheter un décrypteur.

Pour prouver à l’utilisateur qu’une clé de déchiffrement existe bien, la note suggère même à l'utilisateur d’envoyer en pièce jointe un de ses fichiers chiffrés afin que les malfaiteurs puissent le lui renvoyer déchiffré. Les chercheurs continuent à étudier MedusaLocker et on ne sait toujours pas s'il est possible de déchiffrer les fichiers qu’il bloque. 

Des suspects arrêtés en Espagne pour une attaque internationale de BEC

Après trois ans d’enquête, au niveau international, trois des auteurs d’une attaque de BEC (compromission de la messagerie en entreprise) ont été arrêtés en Espagne. Une quatrième personne a été interpelée. Les suspects ont entre 34 et 67 ans. ZD Net a rapporté que les auteurs de cette attaque ont escroqué au moins dix millions d'euros à des organisations. Douze entreprises de dix pays auraient succombé à l'attaque, qui utilisait des techniques de phishing pour se faire passer pour des supérieurs exigeant un transfert de fonds. Pour être plus convaincants, les attaquants ont rédigé les faux messages avec le papier à en-tête et les marques de l’entreprise. Le complexe blanchiment d’argent a été réalisé à l’aide de 83 entreprises fictives et de 185 comptes bancaires.

À ce jour, 1,29 million d'euros ont été recouvrés dans le cadre de l’« opération Lavanco », un projet collaboratif associant Europol, Interpol, le FBI et d'autres organismes de répression. « C’est une bonne nouvelle car, contrairement aux autres attaques cybercriminelles, il n’existe aucun logiciel pour vous protéger des BEC. C’est pour cela qu’il s’agit d’une véritable menace pour les entreprises », a commenté Luis Corrons, évangéliste de la sécurité chez Avast. « La seule façon d’éradiquer ce type d’attaque est d'arrêter les criminels, comme nous le faisons constamment et continuerons de le faire. »

Citation de la semaine

« La sécurité est un voyage sans fin. » - déclaration d’Apple par rapport aux récents problèmes de sécurité sur iOS. En savoir plus sur les nouvelles menaces qui pèsent sur les utilisateurs de Mac.

Des applications malveillantes prouvent que les enceintes intelligentes peuvent être compromises

Des hackers éthiques ont prouvé au monde entier qu’Alexa et Google Home pouvaient être manipulés à mauvais escient via des applications tierces, a annoncé Ars Technica. Les pirates ont développé huit applications : quatre pour Alexa et quatre pour Google Home. Ces applications ressemblent à des lecteurs d’horoscope et, dans un cas, à un générateur de nombres aléatoires. Les pirates y ont introduit des malwares afin d’écouter des conversations ou d’intercepter des mots de passe. Toutes les applications ont réussi leurs opérations malveillantes.

Les applications d'écoute ont enregistré des utilisateurs à leur insu et ont renvoyé l'audio au centre de commande et de contrôle qui constituait la base des hackers éthiques. Une fois activées, les applications de phishing ont fait croire aux utilisateurs qu’il y avait une erreur. Puis elles se sont fait discrètes, pour que les utilisateurs pensent que l'application était fermée. Peu après, l'application a annoncé avec une voix semblable à celle d’Alexa ou de Google Home qu'une mise à niveau de l'appareil était disponible. Puis elle a demandé un mot de passe pour permettre cette mise à niveau. Après avoir prouvé que ces ruses fonctionnaient, les pirates ont supprimé les applications et partagé tout le processus avec Amazon et Google.

Les deux entreprises ont retiré ces applications de leur boutique et se sont engagées à renforcer leurs processus de révision des applications afin que de telles applications ne soient plus jamais approuvées. « Les assistants vocaux pour la maison sont de plus en plus populaires », a déclaré Luis Corrons, « et ce type d’études nous aide de différentes manières. D’abord, cela permet aux fournisseurs de corriger et de renforcer leurs produits avant que les cybercriminels ne puissent détecter et exploiter des failles. Ensuite, cela permet aux utilisateurs de réaliser combien il est dangereux d’être toujours plus connectés ».

Statistiques de la semaine 

Selon les dernières recherches en cybersécurité, les entreprises sont aujourd'hui confrontées à une augmentation de 400 % des URL de phishing.

Un texan condamné à 12 ans de prison pour avoir piraté la Cour supérieure de Los Angeles

Selon The Associated Press, un texan de 33 ans, a été condamné à douze ans de prison pour avoir piraté le système informatique de la Cour supérieure de Los Angeles en 2017. Il aurait utilisé le système pour envoyer deux millions de messages de phishing (hameçonnage). L'arnaque de phishing reposait sur deux étapes. La première étape consistait à infiltrer un seul compte de messagerie du système judiciaire. À l'aide de ce compte, l'attaquant a ensuite récupéré les informations d'identification de centaines d'autres comptes de messagerie d’employés du tribunal. La deuxième étape du plan consistait à utiliser tous les comptes compromis du système judiciaire pour envoyer deux millions d’e-mails de phishing. Les e-mails prenaient la forme d'avis d’American Express, de Wells Fargo et d'autres entreprises. Ils incitaient les utilisateurs à divulguer leurs informations bancaires et de carte de crédit.

Les « lectures indispensables » de cette semaine sur le blog d'Avast

Faites connaissance avec Michal Pechoucek, le nouveau directeur technique d’Avast.  Découvrez pourquoi il pense que l’intelligence artificielle constitue à la fois la plus grande menace et la plus grande opportunité pour la cybersécurité, et pourquoi il aimerait rencontrer le Dalaï Lama.


Avast est le leader mondial de la cybersécurité, protégeant plusieurs centaines de millions d'utilisateurs à travers le monde. Protégez tous vos appareils avec notre antivirus gratuit et primé. Préservez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine. Débarrassez-vous des annonceurs et masquez votre identité en ligne pour une meilleure confidentialité avec Avast Antitrack.