Auteur Sujet: ETERNALBLUE etc, nouveaux dump des Shadow Brokers  (Lu 8319 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #12 le: 14 mai 2017 à 23:06:53 »
...Il y a bien deux cas distingués, XP SP3 normal, et embedded, mais dans les deux cas, le fichier que l'on a quand on choisit 'French' est celui embedded...
...Et pourquoi ne laisses-tu pas un commentaire en bas d'article afin de leur signaler cet état de fait !? 

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #13 le: 15 mai 2017 à 08:29:41 »
Je n'avais pas noté qu'il y a avait possibilité de laisser un commentaire. Je viens de le faire.

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #14 le: 20 mai 2017 à 16:24:04 »
WannaCry boosté par le piratage

La propagation rapide du ransomware WannaCry pourrait avoir été causée par les versions pirate de Windows XP.

Si vous n'avez pas encore entendu parler du ransomware WannaCry, c'est que vous venez de [vous] réveiller après un long sommeil de trois jours. Comme nous vous l'expliquions hier, la cyberattaque lancée le vendredi 12 mai a créé un véritable vent de panique dans le monde entier et a touché de nombreuses personnes et entreprises à travers le monde en paralysant leur système. D'après l'entreprise de sécurité F-Secure, une partie de la propagation de WannaCry aurait été causée par des copies illégales de Windows XP.

Comme l'analyse l'entreprise finlandaise (lien en anglais), ce sont la Russie et Chine - suivie par la France - qui ont le plus souffert de l'attaque. Et cela pourrait être dû au nombre important d'ordinateurs utilisant des copies pirates de Windows XP. Même si Microsoft a distribué un patch en urgence, les versions pirates de Windows XP ne peuvent les recevoir et restent donc très vulnérables. D'après une étude de la Software Alliance (lien en anglais), 70% des utilisateurs d'ordinateurs en Chine utilisent des logiciels sans licences et 64% en Russie. Un terreau très fertile pour tous les virus, malwares et ransomwares.

Comme le souligne le New York Times (lien en anglais), plus de 40 000 institutions ont été touchées en Chine: des universités, des commissariats ou encore la vaste majorité des stations-essence du groupe PetroChina. Toutes utilisaient des versions illégales de Windows XP et ont du recourir aux services de Qihoo 360, une société chinoise d'antivirus qui fonctionne avec les copies illégales et qui a pu distribuer un patch.

Les mésaventures des utilisateurs chinois nous rappellent, s'il en est besoin, que l'utilisation de système d'exploitation comporte de nombreux risques de sécurité. Et au vu de l'évolution actuelle des virus et de la force de frappe qu'ils peuvent atteindre, la lutte contre le piratage risque aussi de devenir une question de sécurité...


Source: CommentCaMarche.net par Benjamin Walewski le 16 mai 2017. 

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #15 le: 23 mai 2017 à 15:07:26 »
EternalRocks encore plus inquiétant que WannaCry

Après l'attaque du ransomware WannaCry, les chercheurs ont identifié le ver de réseau EternalRocks. Celui-ci utilise jusqu'à 7 outils de hacking ayant été volés à la NSA puis exposés par le groupe Shadow Brokers.


Selon Malwarebytes, WannaCry a recherché les ports SMB vulnérables avant d'utiliser EternalBlue pour rentrer sur le réseau et le backdoor DoublePulsar pour installer le ransomware. EternalRocks utilise aussi ces deux outils. (crédit : D.R.)

Une semaine après l’attaque perpétrée par le ransomware WannaCry au niveau mondial, un autre logiciel d’exploitation de failles fait parler de lui. Selon des chercheurs en sécurité, il y a au moins une personne qui utilise 7 des outils d’attaque volés à la NSA dans un ver de réseau dénommé EternalRocks par ceux qui l’ont identifié. Les chercheurs ont constaté que ce ver ciblait la même vulnérabilité du protocole SMB de Windows, en s’avérant plus menaçant et plus difficile à contrer. Comme WannaCry, EternalRocks utilise EternalBlue, l’un des outils de la NSA. Malwarebytes pense que WannaCry n’a pas été diffusé par une campagne de spams malveillant mais par une opération de scanning qui a d’abord recherché les ports SMB accessibles publiquement et vulnérables avant d’utiliser EternalBlue pour rentrer sur le réseau et d'utiliser la porte dérobée DoublePulsar pour installer le ransomware.

EternalBlue fait partie des outils de hacking de la NSA exposés en avril par le groupe Shadow Brokers. Presque immédiatement, des attaquants ont commencé à repackager EternalBlue. Le spécialiste en sécurité Secdo a de son côté signalé que trois semaines avant l’attaque de WannaCry, au moins trois acteurs différents se servaient d’EternalBlue pour infecter des réseaux, y installer des backdoors et extraire des identifiants d’utilisateurs à travers le monde, Etats-Unis inclus. L’attaque n’a laissé aucune trace. En s’infiltrant dans des applications légitimes et en se faisant passer pour elles, l’attaque peut échapper aux solutions anti-virus avancées. Selon Secdo, ces intrusions pourraient présenter un risque supérieur à celui de WannaCry parce que de nombreux terminaux pourraient demeurer compromis même après avoir installé les derniers correctifs de sécurité.

EternalRocks recourt à 7 outils d’attaque de la NSA

La firme pense que l’un des attaquants a volé des identifiants en utilisant une adresse IP russe, tandis qu’un autre semble avoir utilisé EternalBlue dans des attaques opportunistes pour créer un botnet chinois. "Même si les entreprises ont pu bloquer WannaCry et patcher la faille SMB de Windows, il est possible qu’une porte dérobée soit toujours là et les identifiants compromis peuvent être utilisés pour retrouver un accès". De son côté, le fournisseur Proofpoint a remarqué une attaque utilisant EternalBlue et DoublePulsar pour installer un botnet d’extraction de cryptomonnaie. Cette attaque, qui a également démarré avant WannaCry, pourrait être plus étendue et pourrait même avoir limité la diffusion de WannaCry parce qu’elle a « fermé le réseau SMB pour empêcher d’autres infections avec d’autres malwares à travers la même vulnérabilité », explique Proofpoint. A chaque fois que la firme de sécurité a exposé un environnement vulnérable aux attaques d’EternalBlue, celui-ci était ajouté au botnet d’extraction de cryptomonnaie en une vingtaine de minutes.

L’information qui s’avère peut-être la plus préoccupante à propos de ces attaques vient du chercheur Miroslav Stampar. C’est la plus inquiétante parce que le ver de réseau EternalRocks ne recourt pas seulement à EternalBlue et à DoublePulsar comme WannaCry. Il utilise jusqu’à 7 outils différents de la NSA : EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch and SMBtouch.


Source: LeMondeInformatique.fr par Ms Smith / Network World (adapté par MG) le 22 Mai 2017. 

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #16 le: 24 mai 2017 à 00:57:49 »
WannaCry: un frenchie trouve une solution partielle sous Windows XP

Adrien Guinet vient de trouver une solution pour les utilisateurs d'ordinateurs sous Windows XP dont les données sont bloquées par le ransomware WannaCry. Mais il faut "un peu de chance" pour que cela marche.

Un chercheur français en cyber sécurité de chez Quarkslab, Adrien Guinet, vient de trouver une solution pour les utilisateurs d'ordinateurs sous Windows XP dont les données sont bloquées par le ransomware WannaCry.

Adrien Guinet a mis au point un logiciel diffusé sur GitHub qui utilise une limitation de l’API cryptographique de Windows XP pour contourner le blocage de WannaCry.

WannaKey, le nom de ce logiciel, est capable de retrouver la clé de WannaCrypt. Et avec cette clé, il est possible de déverrouiller le blocage et de retrouver l'accès aux données. Mais cela ne marche pas à tous les coups concède l'auteur du logiciel. "Avec un peu de chance, vous pouvez accéder à des parties de la mémoire et régénérer une clé", explique Antoine Guinet à Wired. "Peut-être qu'elle sera toujours là, et que vous pourrez récupérer une clé utilisée pour décrypter les fichiers. Cela ne fonctionnera pas à chaque fois."

Plusieurs limitations

Reste que l'intérêt de WannaKey est limité à la version XP de Windows alors que WannaCry touche toutes les versions de l'OS Microsoft. Surtout, pour que WannaKey fonctionne, il faut que l'ordinateur bloqué par WannaCry n'ait pas été redémarré par son utilisateur. Et la panique provoquée par le rançongiciel induit bien souvent des tentatives de ce type, ne serait-ce que pour voir si cela fait revenir la machine à la normale.

Le mode d'emploi du logiciel est mentionné sur la page GitHub de WannaKey.

Pour aller plus loin sur ce sujet

    DOSSIER: Rançongiciel et ransomware, comprendre WannaCrypt
    Faille Windows: Après WannaCry voici Adylkuzz, spécialiste du cryptomining
    Les Shadow Brokers parlent à nouveau, et c'est confus
    WannaCry, Adylkuzz: le point sur les enjeux de cette nouvelle nuisance informatique [MAJ]
    WannaCry: la seconde vague arrive, alors soyez prêts [MAJ]


Source: ZDNet.fr par la rédaction de ZDNet.fr | Samedi 20 Mai 2017. 

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ETERNALBLUE etc, nouveaux dump des Shadow Brokers
« Réponse #17 le: 05 juin 2017 à 02:00:22 »
Qui est Lazarus, le groupe de pirates dont l’ombre plane sur le rançongiciel WannaCry ?

L’implication du groupe dans la cyberattaque sans précédent qui a touché des dizaines de pays mi-mai semble de plus en plus probable.

Le 24 novembre 2014 aurait dû être une journée comme les autres au siège du puissant studio de cinéma Sony Pictures, au cœur de l’immense métropole de Los Angeles. Mais les employés sont accueillis, ce matin-là, par un squelette rouge qui grimace sur leurs écrans. "Hacked by GOP", peuvent-ils lire sur leurs ordinateurs paralysés. Tout le réseau informatique du studio est infecté par des pirates, qui avertissent: "Nous continuerons jusqu’à ce que nos demandes soient accordées. Nous avons obtenu toutes vos données internes."

Ce qui ressemble à une plaisanterie de très mauvais goût est l’ultime étape d’une attaque informatique sans précédent: des pirates ont rôdé pendant des semaines dans le réseau de l’entreprise, dérobant et supprimant une quantité faramineuse d’informations. Films encore inédits, contrats, documents de négociations, données personnelles de célèbres acteurs ou encore correspondances internes seront ensuite postés sur Internet, aux yeux de tous.

Quelques semaines plus tard, le FBI attribue formellement cette attaque à la Corée du Nord, qui voyait d’un très mauvais œil la production par Sony Pictures d’un film parodique de son régime totalitaire. Sans vraiment convaincre la totalité des experts en sécurité informatique, l’administration américaine va jusqu’à muscler les sanctions contre Pyongyang pour protester contre ce piratage.

Sony Pictures, premier grand fait d’armes de Lazarus

Une chose est cependant certaine: ce piratage sans précédent a été commis par un groupe de pirates extrêmement compétents et impliqués depuis dans plusieurs attaques d’ampleur. Dénommé Lazarus par les entreprises qui ont, depuis, étudié son fonctionnement, il est aujourd’hui soupçonné de se cacher derrière le rançongiciel WannaCry.

L’entreprise américaine Symantec a ainsi estimé la semaine dernière qu’il était "très probable" que Lazarus ait construit ce logiciel qui a déferlé sur Internet il y a quelques jours, touchant très durement, entre autres, le système de santé britannique. Les experts s’appuient notamment sur des similarités dans le code informatique entre des versions préliminaires de WannaCry et d’outils utilisés par le passé par le groupe Lazarus.

Attribuer les attaques informatiques à telle ou telle entité est chose hasardeuse et complexe, mais les travaux menés depuis plusieurs années sur plusieurs vagues d’attaques permettent cependant de dessiner les contours de ce groupe de plus en plus actif. Il est ainsi impliqué dans une attaque visant, en 2009 et 2011, à surcharger des sites gouvernementaux et militaires sud-coréens de connexions pour en empêcher l’accès.

Quelques années auparavant, ce même groupe est soupçonné d’avoir lancé une campagne de surveillance de multiples organismes militaires sud-coréens. En 2013, les réseaux informatiques de trois chaînes de télévision et de deux banques, sud-coréennes encore, sont complètement paralysés lorsqu’un virus supprime soudainement, en plein après-midi, des milliers de fichiers. Les analyses menées par plusieurs entreprises de cybersécurité pointent, à nouveau, vers Lazarus. En 2014, c’est donc avec un mode opératoire similaire que ce groupe s’en prend à Sony Pictures.

Le plus gros casse bancaire de l’ère moderne

Déjà original par son recours au sabotage, complèmentaire de ses activités d’espionnage, une nouvelle face du groupe Lazarus est découverte en 2015. Au début du mois de février, une banque sri-lankaise reçoit un ordre de virement en provenance d’un compte détenu aux Etats-Unis par la banque centrale bangladaise.

Un employé vigilant repère des anomalies et demande confirmation de ce versement auprès de la banque centrale. Celle-ci s’avère être totalement étrangère à l’opération: des pirates sont parvenus à pénétrer dans son réseau informatique et à faire en son nom des ordres de virements.

Si une grande partie d’entre eux ont pu être bloqués, 81 millions de dollars détenus par le pays d’Asie du Sud se sont évaporés. Plusieurs entreprises qui ont étudié l’attaque ont vu, à nouveau et dans ce qui est le plus gros casse bancaire de l’ère moderne, la main de Lazarus.

Ce dernier occupe une place à part dans le paysage des menaces informatiques, généralement peuplé par deux sphères aux motivations différentes : celle dont les priorités gravitent autour de l’espionnage – politique, diplomatique, économique –, souvent d’origine étatique, et les groupes criminels, davantage attirés par l’appât du gain. Lazarus emprunte aux deux catégories.

Un groupe puissant et intéressé par l’argent

S’il est difficile de conclure définitivement à l’origine étatique de ce groupe, le caractère très évolué des outils et des techniques de Lazarus intrigue les chercheurs. "Cette sophistication n’est pas quelque chose que l’on trouve généralement dans le monde cybercriminel. Elle requiert une organisation et un contrôle stricts à toutes les étapes des opérations", écrivent les experts de Kaspersky dans un long rapport consacré à Lazarus et publié au printemps.

« Si on considère que Lazarus est une émanation d’un Etat, c’est un cas unique, car les Etats ne s’intéressent pas à l’argent. Il y a eu des groupes étatiques qui se sont intéressés aux transactions bancaires, mais à des fins d’espionnage, pas pour voler », précise au Monde Vitaly Kamluk, directeur pour l’Asie-Pacifique de l’équipe de recherche de Kaspersky.

Tous les moyens étant visiblement bons pour s’enrichir, Lazarus a même, selon lui, "utilisé des ordinateurs infectés pour “miner” des cryptomonnaies" et essayé de "pirater des cybercriminels s’en prenant aux cartes de crédit".

Kaspersky, dans son rapport, va plus loin. Selon l’entreprise basée à Moscou, une partie du groupe Lazarus serait spécifiquement dédiée aux opérations financières, destinée à ramasser de l’argent. Les banques sont naturellement parmi les principales cibles de cette unité de Lazarus, que Kaspersky appelle Bluenoroff, mais les pirates s’en prennent également à des traders ou des casinos. Selon l’entreprise, dix-huit pays au moins seraient concernés, du Brésil à l’Irak en passant par l’Inde, la Thaïlande ou le Nigeria.

L’entreprise américaine Symantec, qui a aussi documenté les activités crapuleuses de Lazarus, les a repérés rôdant dans une centaine d’organisations, essentiellement des banques, dans trente et un pays, y compris en Europe.

Un groupe discret et efficace

Davantage Arsène Lupin que bandits de grand chemin, les outils de Lazarus sont "destinés au vol invisible, sans laisser de trace". Le groupe passe du temps à infiltrer en profondeur les systèmes informatiques des banques, opérant souvent hors des heures de bureau de l’établissement infecté, pour davantage de discrétion. C’est également pour cette raison que ce groupe fait fréquemment évoluer ses outils afin de déjouer les mécanismes de détection. "“Muter en permanence” semble être sa devise", résume encore Kaspersky.

Lazarus est, depuis quelques années, de plus en plus prudent: s’il commence une offensive par des outils basiques, pas forcèment les plus performants ni les plus furtifs, il n’emploie ses logiciels les plus sophistiqués et discrets que si les résultats sont prometteurs. Il a aussi modifié sa manière d’infecter ses cibles et le code de ses outils après que des chercheurs ont pour la première fois décrit en détail ses activités, en février 2016.

Lazarus est-il derrière la vague d’infections générées par le rançongiciel WannaCry ? Plusieurs chercheurs et entreprises spécialisées ont effectivement détecté des similarités troublantes entre le code source du programme malveillant et les outils et méthodes de Lazarus. Si le soupçon est très fort, il est cependant possible que les véritables responsables aient fait en sorte de semer de faux indices pointant vers Lazarus ou qu’ils aient mis la main sur des outils théoriquement dans les mains de Lazarus.

Le code de Lazarus a-t-il pu être utilisé par un autre groupe ? "Il y a toujours la possibilité, mais pour qu’un code soit réutilisé, il doit être public, ou semi-public, et ne pas être complètement original. Or certaines parties du code de Lazarus retrouvées dans WannaCry sont très spécifiques et personnalisées", explique Vitaly Kamluk, qui se dit confiant sur l’attribution de WannaCry à Lazarus.

Lire aussi: Rançongiciel: "Le problème n’est malheureusement pas éradiqué", selon Microsoft

Un pilotage par Pyongyang ?

La question de savoir si Lazarus est effectivement piloté par Pyongyang est encore plus ardue. Le FBI, après une enquête sur le réseau de Sony Pictures avait conclu à la responsabilité de la Corée du Nord. Mais les preuves avancées étaient très minces. Non seulement l’attribution d’attaques informatiques à un Etat est techniquement très difficile, mais elle repose souvent fréquemment sur des éléments collectés par des agences de renseignement, par définition difficilement publiables sans mettre en péril leur source, qu’elle soit technique ou humaine.

"Le besoin de protéger des sources et des méthodes sensibles nous empêche de partager toutes les informations [prouvant l’implication de la Corée du Nord]", écrivait d’ailleurs le FBI en novembre 2016.

Le recours par la Corée du Nord à des capacités offensives dans le domaine informatique trouve pleinement sa place dans sa stratégie vis-à-vis du reste du monde, comme l’écrivait le think tank américain Center for Strategic and International Studies en novembre 2015:

   "Les capacités “cyber” permettent d’exploiter les vulnérabilités des États-Unis et de la Corée du Sud à une intensité relativement basse, tout en minimisant les risques de riposte ou d’escalade. Les capacités “cyber” sont des extensions logiques des opérations nord-coréennes, en temps de guerre comme de paix."

Dans son rapport annuel publié au début du mois, le renseignement américain estimait, lui, que Pyongyang "demeurait capable de lancer des cyberattaques perturbatrices ou destructrices pour soutenir ses objectifs politiques".


Source: LeMonde.fr par Martin Untersinger le 30/05/17.