RUBRIQUES DE SÉCURITÉ

Samsam semble annoncer une nouvelle tendance
de ransomwares ciblés

Une nouvelle variante de crypto-ransomware semble indiquer un changement de cible : infecter les entreprises à l'aide d'un malware qui chiffre leurs fichiers.

Augmentation des incidents impliquant des ransomwares

Le FBI (Federal Bureau of Investigation), conjointement à l'US-CERT et au CCIRC (Canadian Cyber Incident Response Centre),  a publié des avertissements au sujet d'une augmentation des incidents impliquant des ransomwares.

 

En février 2016, Symantec a mis en évidence la progression du ransomware Locky, l'une des variantes du ransomware en circulation le plus courant. Au cours de ces derniers mois, Samsam (également appelé Samas ou Samsa), une nouvelle variante, a fait les grands titres de l'actualité de par l'approche ciblée employée pour infecter des systèmes.

Website Security

Ransomwares

Le ransomware ciblé

Les moyens traditionnels utilisés par un ransomware pour infecter des systèmes passent par des téléchargeurs malveillants distribués au moyen de téléchargements non sollicités, et de messages de spam malveillants. Une fois que l'ordinateur est infecté par un téléchargeur malveillant, celui-ci télécharge un malware complémentaire qui souvent contient un crypto-ransomware. Les messages électroniques malveillants contiennent différents types de fichiers joints qui, s'ils sont ouverts, téléchargent et exécutent l'une des nombreuses variantes de ransomware capables de lancer le processus de chiffrement. Une fois que les fichiers ont été chiffrés, une rançon est demandée à la victime en échange du déchiffrement des fichiers.

Samsam, contrairement aux ransomwares plus conventionnels, ne s'introduit pas au travers de téléchargements non sollicités ou de messages électroniques. Les attaquants qui se cachent derrière Samsam utilisent des outils tels que  Jexboss  pour identifier des serveurs non protégés exécutant les produits de l'entreprise JBoss de Red Hat.

Lorsque les attaquants ont effectivement accédé à l'un de ces serveurs en exploitant les vulnérabilités de Jboss, ils utilisent librement les outils et les scripts disponibles pour collecter des identifiants et réunir des informations sur les ordinateurs du réseau. Ils déploient ensuite leur ransomware pour chiffrer les fichiers présents sur les systèmes avant de demander une rançon.

Le ransomware Samsam diffère également des autres par le fait que les agresseurs génèrent eux-mêmes la paire de clés RSA. La plupart des crypto-ransomwares contactent un serveur de contrôle et de commande qui va générer la paire de clés RSA et renvoyer la clé publique afin de chiffrer les fichiers des ordinateurs infectés. Avec Samsam, les attaquants génèrent la paire de clés et téléchargent la clé publique avec le ransomware sur les ordinateurs infectés.

Des innovations permanentes en matière de ransomwares

Samsam est juste une variante de plus dans un nombre croissant de variantes de ransomware, mais ce qui le distingue vraiment des autres ransomwares, c'est sa capacité à atteindre les cibles voulues par le biais d'un logiciel d'un serveur non protégé. La leçon à tirer ici est la tendance croissante des criminels à cibler directement des entreprises par des attaques de ransomware. Le succès de ces attaques récentes marque une évolution des cybercriminels qui cherchent à maximiser leurs gains en dirigeant désormais leurs attaques sur des entreprises vulnérables.

Le ransomware se révèle être un modèle d'activité viable, rien d'étonnant donc à ce que les techniques utilisées passent du spam malveillant et des téléchargements non sollicités à ce qui ressemble plus à des attaques ciblées.

Versions de JBoss

Les entreprises qui déploient des produits Jboss dans leur environnement doivent contrôler si elles exécutent des versions non protégées et, le cas échéant, les corriger immédiatement. Selon Red Hat, les versions suivantes de JBoss et versions ultérieures  ne sont pas concernées :

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

Protection
Les produits Symantec et Norton protègent contre le ransomware Samsam et ses différents outils en détectant les logiciels suivants :

Antivirus :

 

Testez la sécurité de votre site web maintenant

Symantec CryptoReport

Vérifiez votre installation de certificat SSL/TLS

TESTER MAINTENANT
Évaluation des vulnérabilités

Évaluation des vulnérabilités

Une vulnérabilité est un point d'accès potentiel par lequel la fonctionnalité ou les données d'un site web peuvent être endommagées, téléchargées ou manipulées. Un site web classique (même le plus simple des blogs) peut avoir des milliers de vulnérabilités potentielles.

Lire la suite

La différence entre un virus, un ver et un cheval de Troie

La différence entre un virus, un ver et un cheval de Troie

L'erreur la plus courante lorsque l'on parle de virus informatique consiste à parler de virus pour désigner un ver ou un cheval de Troie.

Lire la suite

Que sont les malwares, les virus, les spywares et les cookies ?

Que sont les malwares, les virus, les spywares, les cookies et qu'est-ce qui les différencie ?

Avant d'effectuer un téléchargement sur Internet, vous devez d'abord être sûr de ce que vous faites. 

Lire la suite

TÉMOIGNAGES CLIENTS

Les solutions Symantec Website Security dans le monde réel

Rejoindre la communauté

Rejoignez des discussions de sécurité sur Symantec Connect

SYMANTEC CONNECT

Suivez Threat Intelligence sur Twitter @Threatintel

SYMANTEC ON TWITTER

Regardez des vidéos sur la chaîne YouTube Symantec Website Security

SYMANTEC ON YOUTUBE

Nous avons mis à jour notre politique de confidentialité qui peut être trouvée ici.