Attaques d’un ransomware très ciblé visent des sociétés Françaises

Ransomware très ciblé ! Voilà qui est intéressant ! Surtout dans la réflexion des pirates informatiques à trouver des méthodes pour détourner de l’argent. Plusieurs exemples que ZATAZ va vous expliquer dans les grandes lignes. Des attaques ransomware ont visé, ce mardi 5 septembre, plusieurs grandes entreprises françaises.

Pour rappel, un ransomware est un logiciel malveillant qui une fois exécuté sur un ordinateur, un smartphone, … va chiffrer le contenu de l’appareil et réclamer de l’argent pour rendre les données ainsi prises en otage.

La société Xerox a été prise pour cible, en ce début de semaine, par ce type d’attaque. Heureusement, une équipe sécurité efficace face à une attaque particulièrement bien pensée a su contrer la tentative de chantage.

Tout débute par un courrier très ciblé

Tout débute par un courrier électronique signée par la mutuelle de l’entreprise, Gerep. Des courriers électroniques aux couleurs de ce courtier en assurance d’entreprises sont arrivés dans les boites mails des employés de Xerox. La missive annonce une facture de quelques centaines d’euros.

Comment le pirate a-t-il pu mettre la main sur les mails en question. Piratage ? Hasard ? Regroupement des adresses mails des employés via un moteur de recherche ? de la prospection ? Gerep a été alertée du problème. J’attends une réponse de leur DPO. De son côté, le service du personnel de Xerox a pris le taureau par les cornes et alerter l’ensemble des employés. A noter que certains des employés impactés n’utilisent pas leur adresse mail professionnelle pour se connecter à leur mutuelle. Ils ont pourtant bien reçu la fausse facture.

Comment le pirate a-t-il pu agir ?

Comment le pirate a pu trouver les données corrélant les employés et la mutuelle ? Il a rédigé son courrier d’une manière suffisamment efficace (capture écran) pour piéger le lecteur. La possibilité pourrait-être très simple. Pas besoin de pirater la mutuelle. Le malveillant s’informe directement sur le site de GEREP. Le courtier afficher dans sa page présentation ses gros clients : Xerox, Electrolux, Snelac, STO …

https://twitter.com/Damien_Bancal/status/1037013541570658304

Code pirate

Le code pirate de la fausse facture s’exploite depuis mai 2017. Le fichier piégé, proposé dans la fausse missive de la mutuelle permet de télécharger la facture ransomware via plusieurs sites.

La page de téléchargement passe d’abord par le site earthingtheworld[.]com qui redirige la connexion sur l’espace Xero payment integration de PayStand. Seulement, ce n’est pas PayStand, mais un faux stevedlawrence[.]com caché en Afrique du Sud !

Un espace intelligemment trouvé pour lancer le téléchargement de la facture piégée. Le fichier joint n’est détecté que par 4 outils de sécurité informatique sur 59 selon Virus Total. Un courriel à la sauce social engineering. Le pirate a trouvé un angle d’attaque parfait, l’assurance santé des employés !

Mise à jour : Le courtier Gerep, très réactif, a contacté ses clients suite à cette attaque informatique. « Chère cliente, cher client, Nous tenons à vous informer qu’un prestataire de la société Gerep a été victime en début d’après-midi d’une opération de hameçonnage. […] L’espace assuré Iris pas concerné. Le compte de ce prestataire immédiatement suspendu. Nous vous prions de nous excuser pour le désagrément occasionné.« . L’identité du prestataire n’a pas été nommée. Cette attaque démontre la motivation et le travail de Social Engineering du pirate.