le Bureau fédéral d’enquête des États-Unis met en garde contre une augmentation des escroqueries d’extorsion en ligne qui se font passer pour le FBI et incitent les gens à payer des amendes pour éviter des poursuites pour avoir soi-disant téléchargé de la pornographie juvénile et du contenu piraté. Cet article offre un aperçu de l’intérieur d’un gang de logiciels malveillants responsable de l’orchestration de telles escroqueries.
Page d’arnaque Reveton ransomware se faisant passer pour le FBI
Dans une alerte publié la semaine dernière, le FBI a déclaré que Le centre de plainte contre la criminalité sur Internet — un partenariat entre le FBI et le Centre national de lutte contre la criminalité en col blanc – était «inondé de plaintes» de consommateurs ciblés ou victimes de l’escroquerie, qui utilise des téléchargements en voiture pour détourner des machines hôtes. Le logiciel malveillant téléchargé affiche un message menaçant (voir l’image à droite) et empêche l’utilisateur de faire quoi que ce soit d’autre à moins qu’il ne paie l’amende ou ne trouve un moyen de supprimer le programme.
L’alerte du FBI a déclaré que les attaques ont augmenté avec l’aide d’un « nouveau virus drive-by » appelé Reveton; en fait, Reveton et ses semblables ne sont pas nouveaux. Ces types d’attaques existent depuis des années, mais ciblent traditionnellement les utilisateurs européens. Les pages d’escroquerie utilisées dans les attaques imitent les avis officiels de diverses polices nationales ou agences d’enquête, correspondant au pays dans lequel réside la victime. Pour une ventilation de ces pages d’escroquerie de ransomware liées à Reveton par pays, voir cette galerie complète mise en place sur botnets.fr.
Reveton.A est blâmé dans ces attaques les plus récentes, et le FBI a déclaré qu’il semble que Reveton soit distribué en collaboration avec Citadelle, une ramification du cheval de Troie ZeuS sur lequel j’ai écrit à plusieurs reprises. Il est certainement possible que des escrocs utilisent Citadel pour déployer Reveton, mais comme je vais l’illustrer ci-dessous, il semble plus probable que les attaquants dans ces cas utilisent des kits d’exploitation comme Trou noir pour planter les deux menaces sur les PC victimes.
À L’INTÉRIEUR D’UN GANG DE MALWARE REVETON
Opérations d’un groupe criminel Reveton. Source : « Kafeine », de botnets.fr.
C’est du moins le comportement observé par un groupe hétéroclite de chercheurs qui suit l’activité de Reveton depuis de nombreux mois. Certains des chercheurs sont associés à botnets.fr, mais ils ont demandé à rester anonymes en raison de la sensibilité de leur travail. L’un d’eux, qui s’appelle « Kafeine », a déclaré qu’une grande partie de l’activité de Reveton remonte à un groupe qui contrôle l’opération en utilisant proxys inverses sur des dizaines de serveurs dispersés dans des centres de données dans le monde (voir ce PDF pour un aperçu plus détaillé de l’image ci-dessus).
Kafeine a déclaré que les groupes impliqués dans la diffusion de Reveton affinent constamment tous les aspects de leurs opérations, des pages d’escroquerie à la solidification de leur infrastructure d’hébergement back-end. Les dernières versions de Reveton, par exemple, servent les pages frauduleuses à partir d’une connexion cryptée (https://) et ne crachent les pages que lorsqu’une machine infectée visite et envoie une demande spéciale.
Certains lecteurs peuvent avoir du mal à comprendre comment de tels programmes pourraient réussir. À ces gens, je dis de considérer les opérations lucratives de l’industrie des scarewares autrefois puissante, qui détourne de la même manière les machines infectées avec des avertissements sur les logiciels malveillants jusqu’à ce que la victime cède et paie pour un programme de nettoyage sans valeur et faux.
Kafeine a partagé quelques captures d’écran de deux escroqueries similaires et récentes de ransomware (non liées à Reveton) ciblant les utilisateurs européens qui montrent à quel point ces escroqueries peuvent être efficaces. Ces deux images ont été obtenues lorsque des chercheurs en sécurité sont tombés sur des pages de statistiques gérées par les groupes criminels qui gèrent le programme.
Revenus du ransomware le 17/05/2012
Celui de droite, par exemple, montre que les attaquants ont réussi à installer leur malware sur 2 116 PC en France, et parmi ceux-ci, seuls 3,7 % (79 victimes) ont choisi de payer pour débarrasser leurs machines du ransomware. Mais ces 79 victimes ont chacune payé 100 dollars, rapportant aux mécréants 7 800 euros.
C’est le transport d’un seul pays; gardez à l’esprit que cette page de statistiques montre la prise totale d’une seule journée (17 mai 2012). Selon ces statistiques, au moins 322 personnes de tous les pays dans lesquels ils ont lancé l’arnaque ont choisi de payer la rançon ce jour-là, rapportant aux attaquants plus de 28 000 € (~ 34 500 $) ! Le lendemain (la capture d’écran ci-dessous à gauche), les mécréants ont gagné 43 750 € (~ 54 000 $).
Revenus du rançongiciel 18/05/2012
Contrairement aux escroqueries par scareware, les systèmes de ransomware ne reposent pas sur les paiements par carte de crédit des victimes – un point de pression clé pour écraser les programmes d’affiliation qui aident à répandre cette crudité. La plupart des systèmes de rançongiciels précédents ont utilisé des systèmes de paiement alternatifs tels que Ukash et Paysafe. Les attaques de Reveton qui usurpent le FBI ordonnent aux victimes de payer leurs «amendes» via MoneyPak, qui permet aux personnes qui n’ont pas de compte bancaire d’envoyer de l’argent et de payer des factures dans les entreprises participantes. Les cartes MoneyPak sont disponibles à l’achat chez Wal-Mart, CVS et d’autres détaillants, et peuvent être rechargées en espèces et peuvent être utilisées pour envoyer de l’argent à Pay Pal comptes, cartes de crédit prépayées et pour payer les factures de certaines compagnies de téléphone cellulaire et Direct TV.
J’ai mentionné plus tôt que la plupart de ces attaques Reveton qui ont été suivies jusqu’à présent utilisaient des versions du kit d’exploitation BlackHole pour déployer le malware. Ce sont des kits qui sont intégrés à des sites Web piratés ou malveillants, de sorte que tous les navigateurs visiteurs sont vérifiés pour une variété de plugins non sécurisés et obsolètes, de Éclat pour Java pour Adobe Reader. Les navigateurs jugés vulnérables recevront un téléchargeur de chevaux de Troie qui récupère Reveton et très probablement une copie du cheval de Troie voleur de mots de passe Citadel/ZeuS.
Kafeine et ses collègues chercheurs ont récemment eu accès à l’un des trois principaux panneaux d’exploitation BlackHole utilisés par un gang de logiciels malveillants Reveton. La capture d’écran ci-dessous montre la page d’administration de BlackHole ; dans la partie supérieure gauche de l’image, nous avons une idée de la quantité de trafic que ces escrocs voient un jour donné. Cela montre qu’en une seule journée, le kit d’exploitation a été envoyé à plus de 187 000 victimes potentielles, et que plus de 11 000 d’entre elles ont été semées avec succès avec Reveton. Les statistiques « exploits » dans la partie supérieure droite de l’image montrent qu’une fois de plus, les installations non sécurisées et obsolètes de Java restent de loin le véhicule le plus populaire pour exploiter les PC.
Une capture d’écran récente d’un panneau de kit d’exploitation BlackHole utilisé par un groupe diffusant Reveton. Source : Kafeine de botnets.fr
Un certain nombre de sites Web incluent des instructions pour supprimer le logiciel malveillant Reveton sans avoir à payer la rançon (voici un exemple). Mais il est important que les lecteurs comprennent que si vous avez été touché par une attaque de ransomware, le composant ransomware est presque certainement la menace la plus visible qui réside sur votre système. D’une part, a déclaré Kafeine, les dernières versions de Reveton voleront tous les mots de passe stockés sur le PC de la victime. De plus, le rapport du FBI indique que Reveton est associé à Citadel, qui est une famille de logiciels malveillants extrêmement puissants et avancés qui peuvent être assez difficiles à supprimer.
Des attaques telles que Reveton illustrent la nécessité d’avoir un plan solide pour sauvegarder vos données, car le moyen le plus sûr de nettoyer une machine infectée par Reveton est de réinstaller complètement Windows (à partir du Enregistrement de démarrage principal en haut). Les menaces de ransomware les plus avancées (le sujet d’un futur article) voleront vos mots de passe puis crypteront tous vos fichiers importants avant d’exiger le paiement d’une rançon.