CCleaner et AVAST sont dans un bateau…
Début juillet, le virus Nyetya a bien failli mettre en péril l’économie Ukrainienne.
Son mode de fonctionnement était classique -chiffrement des machines puis demande de rançon-, son mode de propagation initiale l’était moins : le malware avait été distribué avec une mise à jour d’un logiciel de comptabilité. Plutôt que d’infecter les machines, les pirates avaient ciblé un logiciel légitime, pensant avec raison que les utilisateurs allaient faire entrer le loup dans la bergerie sans se méfier.
En dehors des aspects techniques, Certilience avait conjecturé que ce nouveau vecteur d’infection allait devenir très plébiscité par les pirates… [Ransomware Petya : et si nous ne regardions pas au bon endroit ?]
Avast utilisé pour diffuser un malware via un produit tiers
Suis-je infecté ?
Si vous avez la version 5.33 de CCleaner, vous êtes infecté par ce virus. Cette version était disponible au téléchargement entre le 15 août 2017 et le 12 septembre 2017. Le 13 septembre, une version 5.34 a été publiée, version saine.
Talos a fourni une liste d’indicateurs de compromission (IOC) liées à ce malware. Si l’un d’eux apparait dans les logs de vos équipements de sécurité, il y a de grande chance qu’une de vos machines soient infectées.
Une attaque très large
En continuant leur analyse technique de ce mode d’infection, les spécialistes de Talos ont pu mettre la main sur le serveur de commande et contrôle (C&C) des machines infectées. La base de données hébergeant la liste des victimes a été extraite : plus de 700000 machines ont été infectées !!
Mais une question restait sans réponse : personne ne savait à quoi servait ce virus. 700000 PC infectés, et ces virus restaient dormant…
Un catalogue de cibles à la demande
L’analyse de ce C&C a donné la solution. Les pirates se servaient de ces machines infectées comme catalogue pour cibler leurs victimes.
C’est une méthode efficace : lorsque qu’un pirate veut attaquer une entreprise, il n’a plus qu’à consulter ce catalogue de 700000 victimes ! Il a de grandes chances de trouver l’entreprise ciblée dans cette liste, et récupère un moyen très rapide d’entrer dans le réseau.
Un bon auditeur de sécurité réussit à élever ses privilèges dans un domaine Windows en quelques heures, jusqu’à en devenir administrateur (statistiques Certilience : entre 1h et une journée dans +90% des audits).
Un bon pirate fait de même. Toute entreprise ayant un poste infecté par le virus peut donc se voir compromise avec un minimum d’effort !
Réagir pour mieux se protéger
Il faut donc s’attendre à ce que la confiance relative que nous accordons aux logiciels que nous utilisons soit remise en cause, celle-ci pouvant être utilisée à mauvais escient.
Une bonne hygiène informatique est donc une fois de plus la meilleure démarche pour s’assurer un sécurité en profondeur :
1 – vérifier l’état de santé de sa structure et sa remise « au propre » afin de partir sur des bases saines
2 – sécuriser les postes, le réseau, l’administration, et identifier les données sensibles pour adapter leur protection
3 – authentifier et contrôler les accès, gérer le nomadisme
4 – maintenir le SI à jour
5 – mettre en place un plan de remédiation d’activité et un plan de continuité d’activité (PRA et PCA) + un système de sauvegardes efficace
6 – sensibiliser et apprendre des bons gestes afin de limiter au maximum les possibilités d’intrusion dans sa structure
Les experts Certilience peuvent vous aider à faire le point sur votre existant et vous conseiller sur les mesures à prendre.