Gameover : 1 million de machines infectées par Zeus

Image

Ces dernières semaines, des malwares reliés à des Botnets affectent des terminaux de paiement électroniques de commerçants et de sites de vente en ligne à travers le monde. La France est également touchée . Ces attaques s’intensifient et des actions de lutte contre ces fichiers malveillants se font jour :  L’opération TOVAR est en cours depuis quelques jours.

TOVAR: Comment lutter positivement contre les Botnets

Le département de la Justice Américaine à demandé de l’aide au niveau international afin de démanteler un énorme réseau de machines infectées par le malware ZeuS. Ce malware recherche les données financières et personnelles sur les machines infectées et ces données sont revendues à des pirates via des places de marché spécifiques.  Le Botnet Gamover est un immense réseau de pc infectés d’au moins 1 million de machines. Le FBI, Europol et l’Agence du royaume Uni contre le cybercrime ne sont pas seuls pour démanteler ce réseau, car le département de la Justice Américain à fait appel à des sociétés privées  : les équipes de Crowdstrike, Dell Secureworks, Symantec, Trend Micro et Mc Afee apportent leur soutien technologique. Ils sont également aidés par des universités ayant des équipes de pointe dans le domaine : Les universités d’Amsterdam et de Saarland en Allemagne oeuvrent de concert avec les équipes gouvernementales et des sociétés pré-citées.

Un botnet qui aime la technologie…

Gamover est basé sur des modifications du Malware Zeus et à été utilisé depuis 2011 dans des attaques différentes et dans la banqueroute d’une banque Californienne. Zeus a été modifié pour devenir un outil de création de botnet qui est maintenu par des groupes cybercriminels Russes et Ukrainiens. Ces individus sont soupçonnés d’avoir utilisé le réseau de zombies (machines infectées) permettant des acquisitions en $ par des vols d’argent sur des comptes bancaires d’entreprises qui ont été souvent ponctués par d’énormes attaques de dénis de service distribués (DDoS) visant à distraire les victimes afin de ne pas remarquer immédiatement les vols.

Selon le ministère de la Justice, Gameover a été impliqué dans le vol de plus de 100 millions de dollars en compte par des prises de contrôle de ce type.Les « propriétaires » de Gameover auraient également prêté des sections de leur botnet à des tiers contrôlés, qui les ont utilisés à d’autre fins. L’une des utilisations les plus populaires de Gameover a été comme plate-forme pour les systèmes de semis infectés par CryptoLocker :  une souche maligne de ce malware qui bloque vos fichiers les plus précieux avec un cryptage fort jusqu’à ce que vous payez une demande de rançon : c’est ce que l’on appelle du ransomware (logiciel de décryptage et de paiement contre rançon).

Dans un article de recherche publié en 2012 par Dell Secureworks, Gamover a été soutenu par un autre réseau de spam bien connu : Cutwail. Ces e-mails indésirables usurpaient généralement de grandes marques, y compris les frais d’expédition et les compagnies de téléphone, les détaillants en ligne, les sites de réseau sociaux et les institutions financières. Ces vrais-faux courriels portaient Zeus et le lien vers Gameover et sont souvent reçus sous la forme d’une facture, d’une confirmation de commande, ou d’un avertissement au sujet d’une facture impayée (généralement acceptée par la victime, ce qui augmente la probabilité qu’elle cliquera sur le lien qui permet l’installation de Zeus et du rattachement de la machine au Botnet). Les liens dans le courriel officiel des entreprises ont été remplacés par ceux de sites compromis qui, en silence, sondent le navigateur du visiteur en lui disant que les  plug-ins sont obsolètes et peuvent être exploités pour installer des logiciels malveillants…plutôt bien pensé non ?

Stopper Gamover : c’est technologiquement très intéressant !

Limiter sa propagation jusqu’à ce qu’il ne soit plus actif : telle est la tâche des acteurs gouvernementaux et privés dans cette guerre technologique. Gamover utilise Zeus comme malware qui utilise un mécanisme peer-to-peer avancé pour contrôler et mettre à jour les systèmes infectés.

Image

Il est difficile de démanteler un tel réseau en respectant les lois et les conditions techniques. Microsoft à déjà tenté en 2012 de mettre à mal une partie de ce réseau qui utilisait Zeus et Spy eye en prenant le contrôle des noms de domaines utilisés par les cybercriminels. Mais mettre à mal de réseau géant est une toute autre affaire : en 2014 , les technologies ont évolué et les créateurs de Gameover ont repensé l’architecture du réseau : il passe par des systèmes décentralisés, des proxies et  des technologies de cryptage fort qui permet de cacher les adresses des serveurs de contrôle…En 2012, lorsque Microsoft à mis à mal une partie de ce réseau, le malware Zeus utilisait une liste de machines infectées : il était donc simple de remonter le chemin par ces adresses IP, ce qui n’est plus le cas aujourd’hui.

Au niveau légal, c’est le Département de la Justice Américain qui prend l’initiative : il y a quelques jours, une plainte à été déposée contre le créateur du malware ZeuS en la personne de Evgeniy Mikhailovich Bogachev, citoyen Russe. La lutte technologique et légale continue actuellement. Chez Expert Security, nous suivons pour vous cette affaire et vous tiendrons informés par de nouveaux articles.

Comment vous protéger de ce type d’action malveillante ?

En entreprise, les solutions de sécurité doivent être les plus à même de lutter contre les nouveaux malwares du type Zeus et dérivés. Pour les entreprises de petite taille, évitez les solutions gratuites, elle ne sont pas à même de lutter contre ces nouvelles menaces. Adoptez une solution payante dédiée aux petites entreprises ( De Kaspersky Labs à Mc Afee, il existe plusieurs sociétés éditrices de solutions anti-virales de pointe). Pour les entreprises moyennes aux grandes, Il est vital d’effectuer des scans récurrents des serveurs et des stations de travail et de renforcer la sécurité de votre architecture. Egalement, sensibiliser votre personnel est essentiel, car la protection technologique est une solution , mais l’attention portée par le personnel vient renforcer cette sécurité technologique, notamment lors de la réception de courriels. La gouvernance de la sécurité de l’information est primordiale aujourd’hui. Chez Expert Security, nous vous assistons dans cette gouvernance par différents services. N’hésitez pas à nous contacter, nous serons ravis de vous assister dans le renforcement de la sécurité de l’information de votre entreprise.