Les nouveaux Malwares et la sécurité de votre système d’information

nemanja

Les nouveaux malwares (fichiers malveillants) sont de plus en plus évolués de part leur conception et également dans les objectifs qu’ils sont censés atteindre. Les derniers en date comme Carbanak ciblent les institutions financières (banques) et volent non seulement des données, mais également transfèrent de l’argent au moyen de virements (entre 300 Millions à Un milliard de $ de « recette »). Ce malware existe depuis 2013 et à fait l’objet d’une étude d’ingenierie inverse du code effectué par les chercheurs en sécurité de l’éditeur Kaspersky Labs.

Ingénierie sociale et développement de haute qualité

Le groupe de cybercriminels qui à créé ce malware à étudié durant une longue période les cibles a atteindre afin de connaître leur personnel, les adresses mail des employés des banques et ont développé un fichier malveillant capable d’effectuer différentes tâches comme, par exemple,une recherche de la solution de sécurité antivirale ou d’analyse existante sur le système d’information ciblé et, une fois la solution découverte par le malware, de  transformer le fichier transféré en un fichier tout à fait banal afin de ne pas être découvert durant l’analyse antivirale. Ce fichier se mettait alors en mode « dormant » afin d’être réveillé par un processus interne à une date et une heure donnée .

Le mode de transmission de ce malware s’effectue par voie de courrier électronique. Les cybercriminels ont créé des mails « officiels »comprenant des documents  joints aux mails reprenant l’apparence de véritables documents internes et envoyés par courrier électronique vers des employés. Les documents joints comprenait le fichier malveillant.
Une fois que l’employé cliquait sur le fichier joint, le malware s’installait alors sur la machine hôte et effectuait un ensemble de contrôles :  (scanner le réseau interne, connaître les adresses IP des distributeurs de billets des agences par exemple et  envoyait ces informations sur des serveurs spécifiques tout en cryptant les informations). Carbarnak comportait un outil d’administration à distance, piloté par les cybercriminels et, grâce à celui-ci, ont pu transmettre des ordres de virement de fonds depuis les distributeurs de billets vers des serveurs cachés en utilisant les services d’administration à distance des  distributeurs de billets, et les fonctions de virement existants . Ainsi, les cybercriminels ont pu voler des sommes colossales aux banques ciblées. Les montants volés par les transactions ne dépassaient jamais un certain plafond durant les transferts, ce qui permettait à ces mouvements financiers de ne pas être découverts par les systèmes d’alerte des banques relatifs aux montants des fonds transférés depuis leurs systèmes vers l’extérieur.

Comment lutter contre ces nouvelles menaces ?

Les solutions de sécurité antivirales basées sur des signatures de fichiers malveillants découvertes par les éditeurs de logiciels antiviraux ne sont plus à même de faire face à ce type d’attaque pour bien protéger les serveurs des entreprises et les stations de travail des utilisateurs vu que les paramètres techniques deviennent complexes :

  • le nombre de variantes des APT (Advanced Persistent Threats) conçus par jour est en constante augmentation
  • la complexité de ces nouveaux « virus » du point de vue développement est très avancée
  • L’entrée de nouveaux fichiers comportant des fonctions de cryptage de données appelés Cryptolokers (Cryptoloker 4.0 est le plus avancé :  cryptage de disques durs et demande de rançon par les cybercriminels pour « débloquer » le disque dur affecté ou le serveur affecté). Ces fichiers sont appelés Ransomwares.

Partant de ce constat, peu d’éditeurs de solutions antivirales ce sont lancés dans des développements spécifiques de nouvelles solutions embarquant des fonctions d’analyse issues de l’intelligence artificielle permettant une analyse complète des flux entrants et du code malveillant et mettant en place une zone sécurisée permettant au logiciel antiviral d’effectuer une analyse complète des fichiers ayant un comportement « suspect » voire anormal (bac à sable ou zone d’analyse sécurisée).

Les seuls éditeurs ayant conçu des solutions avancées sont les suivants :

  1. Panda Security avec leur solution Adaptive Defense
  2. Kaspersky Labs (solutions entreprises)
  3. Trend Micro avec la solution Deep Security

Il est important que la solution de sécurité puisse analyser les comportements à risques des fichiers pouvant porter atteinte à votre système d’information.

Conseil : Si vous utilisez une solution de sécurité pour vos serveurs à base de signatures, mettez à jour les fichiers de définition toutes les heures et renforcez également votre système d’information par des analyses des flux entrants via les firewalls  périmétriques de dernière génération ou par des firewalls applicatifs (Beeware par exemple) et les proxys de dernière génération (blue coat ). Dans un même temps, la sécurité des terminaux utilisés par vos employés est également à renforcer (pc fixes, ordinateurs portables, tablettes numériques et smartphones) via des solutions de sécurité baptisées Endpoint Security. Pour les smartphones, les applications sur IOS et sur Androïd existant sur les plateformes d’applications. Installez les applications de la solution de sécurité qui protège votre informatique (voir liste plus haut).

Le renforcement de la sécurité antivirale est primordiale à l’heure actuelle et ce, quelque soit la taille de votre entreprise. Toutes les entreprises sont visées car ce qui intéresse les cybercriminels, ce sont les données qu’ils volent afin de les revendre. Renforcer la sécurité de votre patrimoine informationnel est donc un enjeu majeur.

Corriger les vulnérabilités

En étroite association avec la lutte antivirale, corriger les vulnérabilités des systèmes et des logiciels que vous utilisez sur votre système d’information est également à mettre en pratique. Effectuez des audits de vulnérabilité de vos serveurs et de vos stations de travail afin de connaître votre niveau de vulnérabilité qui peut permettre aux cybercriminels d’atteindre vos systèmes en utilisant les bugs non corrigées via des attaques spécifiques.

Vous pouvez faire appel à nos consultants pour différentes missions de courte, moyenne et longue durée afin de vous permettre de renforcer la sécurité de votre informatique et du patrimoine informationnel de votre entreprise.

Informations complémentaires

 

 

 

Publicités

Une réflexion sur “Les nouveaux Malwares et la sécurité de votre système d’information

  1. Pingback: Meilleurs voeux et bonne sécurité | blog expert-security

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s