top of page

10 ans de malwares : en 2017, les grandes vagues de rançongiciels


10 ans de malwares : en 2017, les grandes vagues de rançongiciels

publicité

2017

Les trois vagues de rançongiciels

Nous ne pouvons pas commencer cette nouvelle année sans mentionner les trois vagues de ransomwares de 2017, à savoir WannaCry (mi-mai), NotPetya (fin juin) et Bad Rabbit (fin octobre). Tous les trois ont été développés par des pirates soutenus par des États, mais pour des raisons différentes.

WannaCry a été développé par des pirates nord-coréens cherchant à infecter des entreprises et à extorquer des rançons dans le cadre d’une opération de collecte de fonds pour le régime de Pyongyang, tandis que NotPetya et Bad Rabbit étaient pour leurs parts des cyberarmes déployées pour nuire aux entreprises ukrainiennes dans le cadre du conflit russo-ukrainien.

Aucune de ces entités n’avait pour but de provoquer une épidémie mondiale. Le problème est qu’ils se sont reposés sur l’exploit d’EternalBlue qui avait été publié auparavant par les Shadow Brokers. Cet exploit n’était pas bien compris à l’époque et chaque souche de rançongiciels s’est étendue bien au-delà de ce que les créateurs avaient initialement prévu.

Ironiquement, bien qu’ils aient été développés par le gouvernement russe, NotPetya et Bad Rabbit ont fini par causer plus de dommages aux entreprises russes qu’aux entreprises étrangères, et c’est très probablement la raison pour laquelle nous n’avons pas vu une autre épidémie de ransomwares depuis 2017.

Fuites de Vault7

Vault7 est la dernière fuite de WikiLeaks. Il s’agissait d’une mine de documents décrivant les cyberarmes de la CIA.

Aucun code source n’a jamais été inclus, cependant, la fuite a fourni un aperçu des capacités techniques de la CIA, dont certaines comprenaient des outils pour pirater les iPhones, tous les principaux systèmes d’exploitation de bureau, les principaux navigateurs, et même les téléviseurs intelligents.

À l’époque, WikiLeaks a déclaré avoir reçu les données de Vault7 d’un lanceur d’alerte, aujourd’hui identifié comme étant Joshua Adam Schulte.

L’apocalypse MongoDB

Les administrateurs système laissent fréquemment des bases de données exposées en ligne sans mot de passe, mais 2017 a été l’année où les pirates ont finalement commencé à s’attaquer aux administrateurs et les entreprises qui le faisaient.

Connu sous le nom informel d’Apocalypse MongoDB, le phénomène a débuté fin décembre 2016, mais s’est accéléré en janvier de l’année suivante. Les pirates accédaient aux bases de données, supprimaient leur contenu et laissaient des notes de rançon, demandant des sommes en cryptomonnaie pour récupérer les données (qui n’existaient plus dans la plupart des cas).

La première vague d’attaques visait les serveurs MongoDB exposés, mais les pirates ont ensuite étendu leur attaque à d’autres technologies de bases de données telles que MySQL, Cassandra, Hadoop, Elasticsearch, PostgreSQL et d’autres. Les attaques se sont éteintes à la fin de l’année, mais elles ont également attiré l’attention du public sur le problème des bases de données mal configurées qui sont laissées en ligne sans protection.

À la fin de l’année, nous avions une nouvelle catégorie de chercheurs en sécurité connue sous le nom de “chasseurs de brèches” : des personnes qui recherchent des bases de données ouvertes et communiquent ensuite avec les entreprises pour leur faire savoir qu’elles exposent des renseignements sensibles en ligne. Au cours des années suivantes, la plupart des atteintes à la sécurité et des risques liés aux données ont été découverts par ces chasseurs de brèches plutôt que par des pirates qui volaient les données d’une entreprise en ligne après une intrusion.

Le piratage d’Equifax

Le mystère entoure toujours le piratage d’Equifax de 2017, au cours duquel les détails personnels de plus de 145,5 millions de citoyens américains, britanniques et canadiens ont été volés des systèmes de l’entreprise.

Bien qu’une analyse de cette attaque a eu lieu et que nous sachions que la fuite de donnée a été causée par le fait que l’entreprise n’avait pas patché un serveur critique, nous ne savons toujours pas qui était derrière l’intrusion ni quels étaient leurs motifs – s’il s’agit d’une opération de cyberespionnage, ou simplement une bonne vieille opération cybercriminelle.

Quoi qu’il en soit, le piratage de l’une des trois agences américaines d’évaluation du crédit à la consommation a de quoi faire figurer ce piratage dans notre liste.

Le cryptojacking

La montée et la chute du cryptojacking peuvent être directement liées à Coinhive, un service web qui permet d’exploiter la cryptomonnaie via JavaScript, comme un fichier qui peut être ajouté à tout site web. Développés comme une alternative à la publicité classique, les groupes de pirates ont pris l’idée et se sont lancés à fond, plaçant des scripts de cryptojacking sur n’importe quel endroit qui pouvait exécuter JavaScript – des sites Web piratés aux modules de jeux vidéo, et des panneaux de contrôle du routeur aux extensions du navigateur.

De septembre 2017 à mars 2019, date de la fermeture de Coinhive, le cryptojacking (également connu sous le nom de “drive-by mining”) s’est avéré un fléau pour les internautes, ralentissant les navigateurs et faisant exploser l’utilisation du CPU, même si cette technique n’était pas particulièrement rentable.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page