Nous joindre par : 0756 ZATAZ 0
Ransomware très ciblé

Attaques d’un ransomware très ciblé visent des sociétés Françaises

Ransomware très ciblé ! Voilà qui est intéressant ! Surtout dans la réflexion des pirates informatiques à trouver des méthodes pour détourner de l’argent. Plusieurs exemples que ZATAZ va vous expliquer dans les grandes lignes. Des attaques ransomware ont visé, ce mardi 5 septembre, plusieurs grandes entreprises françaises.

Pour rappel, un ransomware est un logiciel malveillant qui une fois exécuté sur un ordinateur, un smartphone, … va chiffrer le contenu de l’appareil et réclamer de l’argent pour rendre les données ainsi prises en otage.

La société Xerox a été prise pour cible, en ce début de semaine, par ce type d’attaque. Heureusement, une équipe sécurité efficace face à une attaque particulièrement bien pensée a su contrer la tentative de chantage.

Tout débute par un courrier très ciblé

Tout débute par un courrier électronique signée par la mutuelle de l’entreprise, Gerep. Des courriers électroniques aux couleurs de ce courtier en assurance d’entreprises sont arrivés dans les boites mails des employés de Xerox. La missive annonce une facture de quelques centaines d’euros.

Comment le pirate a-t-il pu mettre la main sur les mails en question. Piratage ? Hasard ? Regroupement des adresses mails des employés via un moteur de recherche ? de la prospection ? Gerep a été alertée du problème. J’attends une réponse de leur DPO. De son côté, le service du personnel de Xerox a pris le taureau par les cornes et alerter l’ensemble des employés. A noter que certains des employés impactés n’utilisent pas leur adresse mail professionnelle pour se connecter à leur mutuelle. Ils ont pourtant bien reçu la fausse facture.

Comment le pirate a-t-il pu agir ?

Comment le pirate a pu trouver les données corrélant les employés et la mutuelle ? Il a rédigé son courrier d’une manière suffisamment efficace (capture écran) pour piéger le lecteur. La possibilité pourrait-être très simple. Pas besoin de pirater la mutuelle. Le malveillant s’informe directement sur le site de GEREP. Le courtier afficher dans sa page présentation ses gros clients : Xerox, Electrolux, Snelac, STO …

Code pirate

Le code pirate de la fausse facture s’exploite depuis mai 2017. Le fichier piégé, proposé dans la fausse missive de la mutuelle permet de télécharger la facture ransomware via plusieurs sites.

La page de téléchargement passe d’abord par le site earthingtheworld[.]com qui redirige la connexion sur l’espace Xero payment integration de PayStand. Seulement, ce n’est pas PayStand, mais un faux stevedlawrence[.]com caché en Afrique du Sud !

Un espace intelligemment trouvé pour lancer le téléchargement de la facture piégée. Le fichier joint n’est détecté que par 4 outils de sécurité informatique sur 59 selon Virus Total. Un courriel à la sauce social engineering. Le pirate a trouvé un angle d’attaque parfait, l’assurance santé des employés !

Mise à jour : Le courtier Gerep, très réactif, a contacté ses clients suite à cette attaque informatique. “Chère cliente, cher client, Nous tenons à vous informer qu’un prestataire de la société Gerep a été victime en début d’après-midi d’une opération de hameçonnage. […] L’espace assuré Iris pas concerné. Le compte de ce prestataire immédiatement suspendu. Nous vous prions de nous excuser pour le désagrément occasionné.“. L’identité du prestataire n’a pas été nommée. Cette attaque démontre la motivation et le travail de Social Engineering du pirate.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

  1. bsafm29 Reply

    Bonjour,
    Via mon téléphone, j’ai machinalement cliqué sur le lien du mail pour avoir accès à la pseudo facture mais ai rapidement fermé la page internet en me rendant compte de ma bêtise (la page était en cours de chargement). Est-ce que je risque quelque chose ou non ? Merci d’avance

    • Damien Bancal Reply

      Bonjour,
      Via votre téléphone, non. Même si ce genre de ransomware est capable de s’intéresser aussi au téléphone sous Android. Mais dans ce cas là, pas de problème.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.