Samsam semble annoncer une nouvelle tendance de ransomwares ciblés

Symantec Encryption Everywhere est un programme de partenariat clé en main qui vous permet d'apporter des solutions de sécurité aux propriétaires de petites entreprises, dont certains n'ont, dans l'immédiat, aucune protection en place et aucune idée du danger que cela représente.

Devenir partenaire

PartnerLink est un outil en ligne complet, exclusivement destiné aux partenaires Symantec Website Security. Dorénavant, les partenaires existants ont un emplacement où ils trouvent tout ce dont ils ont besoin pour vendre, gérer et prendre en charge leurs solutions Symantec Website Security.

Veuillez noter que Symantec Website Security et les solutions PKI associées ont été achetées par DigiCert Inc., veuillez consulter notre page FAQ pour plus d'informations.

RUBRIQUES DE SÉCURITÉ

Samsam semble annoncer une nouvelle tendance
de ransomwares ciblés

Une nouvelle variante de crypto-ransomware semble indiquer un changement de cible : infecter les entreprises à l'aide d'un malware qui chiffre leurs fichiers.

Augmentation des incidents impliquant des ransomwares

Le FBI (Federal Bureau of Investigation), conjointement à l'US-CERT et au CCIRC (Canadian Cyber Incident Response Centre), a publié des avertissements au sujet d'une augmentation des incidents impliquant des ransomwares.

En février 2016, Symantec a mis en évidence la progression du ransomware Locky, l'une des variantes du ransomware en circulation le plus courant. Au cours de ces derniers mois, Samsam (également appelé Samas ou Samsa), une nouvelle variante, a fait les grands titres de l'actualité de par l'approche ciblée employée pour infecter des systèmes.

Ransomwares

Le ransomware ciblé

Les moyens traditionnels utilisés par un ransomware pour infecter des systèmes passent par des téléchargeurs malveillants distribués au moyen de téléchargements non sollicités, et de messages de spam malveillants. Une fois que l'ordinateur est infecté par un téléchargeur malveillant, celui-ci télécharge un malware complémentaire qui souvent contient un crypto-ransomware. Les messages électroniques malveillants contiennent différents types de fichiers joints qui, s'ils sont ouverts, téléchargent et exécutent l'une des nombreuses variantes de ransomware capables de lancer le processus de chiffrement. Une fois que les fichiers ont été chiffrés, une rançon est demandée à la victime en échange du déchiffrement des fichiers.

Samsam, contrairement aux ransomwares plus conventionnels, ne s'introduit pas au travers de téléchargements non sollicités ou de messages électroniques. Les attaquants qui se cachent derrière Samsam utilisent des outils tels que Jexboss pour identifier des serveurs non protégés exécutant les produits de l'entreprise JBoss de Red Hat.

Lorsque les attaquants ont effectivement accédé à l'un de ces serveurs en exploitant les vulnérabilités de Jboss, ils utilisent librement les outils et les scripts disponibles pour collecter des identifiants et réunir des informations sur les ordinateurs du réseau. Ils déploient ensuite leur ransomware pour chiffrer les fichiers présents sur les systèmes avant de demander une rançon.

Le ransomware Samsam diffère également des autres par le fait que les agresseurs génèrent eux-mêmes la paire de clés RSA. La plupart des crypto-ransomwares contactent un serveur de contrôle et de commande qui va générer la paire de clés RSA et renvoyer la clé publique afin de chiffrer les fichiers des ordinateurs infectés. Avec Samsam, les attaquants génèrent la paire de clés et téléchargent la clé publique avec le ransomware sur les ordinateurs infectés.

Des innovations permanentes en matière de ransomwares

Samsam est juste une variante de plus dans un nombre croissant de variantes de ransomware, mais ce qui le distingue vraiment des autres ransomwares, c'est sa capacité à atteindre les cibles voulues par le biais d'un logiciel d'un serveur non protégé. La leçon à tirer ici est la tendance croissante des criminels à cibler directement des entreprises par des attaques de ransomware. Le succès de ces attaques récentes marque une évolution des cybercriminels qui cherchent à maximiser leurs gains en dirigeant désormais leurs attaques sur des entreprises vulnérables.

Le ransomware se révèle être un modèle d'activité viable, rien d'étonnant donc à ce que les techniques utilisées passent du spam malveillant et des téléchargements non sollicités à ce qui ressemble plus à des attaques ciblées.

Versions de JBoss

Les entreprises qui déploient des produits Jboss dans leur environnement doivent contrôler si elles exécutent des versions non protégées et, le cas échéant, les corriger immédiatement. Selon Red Hat, les versions suivantes de JBoss et versions ultérieures ne sont pas concernées :

Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

Protection
Les produits Symantec et Norton protègent contre le ransomware Samsam et ses différents outils en détectant les logiciels suivants :

Antivirus :

Testez la sécurité de votre site web maintenant

Symantec CryptoReport

Vérifiez votre installation de certificat SSL/TLS

TESTER MAINTENANT

Évaluation des vulnérabilités

Une vulnérabilité est un point d'accès potentiel par lequel la fonctionnalité ou les données d'un site web peuvent être endommagées, téléchargées ou manipulées. Un site web classique (même le plus simple des blogs) peut avoir des milliers de vulnérabilités potentielles.