L’auteur de Trou noir, un kit d’exploitation qui piège des sites Web piratés pour servir des logiciels malveillants, s’est si bien débrouillé en louant sa création à des malfaiteurs que le logiciel est devenu peut-être le logiciel criminel le plus notoire et le plus répandu de l’Underweb. Récemment, cependant, l’auteur a commencé à acheter des exploits personnalisés pour les regrouper dans un pack d’exploits beaucoup plus restreint et coûteux, qui semble alimenter une vague de stratagèmes d’extorsion en ligne de plus en plus destructeurs.
Kit d’exploitation cool.
Un pack d’exploits est une boîte à outils logicielle qui est injectée dans des sites piratés ou malveillants, permettant à l’attaquant d’imposer un évier de cuisine plein d’exploits de navigateur aux visiteurs. Ceux qui visitent ces sites avec des plug-ins de navigateur obsolètes peuvent avoir installé des logiciels malveillants en mode silencieux. Début octobre 2012, des chercheurs en sécurité ont commencé à remarquer qu’un nouveau pack d’exploits appelé Kit d’exploitation cool apparaissait à plusieurs reprises dans des attaques de «ransomware», un logiciel malveillant qui prend les PC en otage dans le but de soutirer de l’argent aux utilisateurs.
« Caféine« , un chercheur et blogueur français qui a suivi les liens entre les gangs de rançongiciels et les kits d’exploitation, détaillé La nouvelle utilisation par Cool d’une vulnérabilité critique dans Windows (CVE-2011-3402) qui a été découvert pour la première fois plus tôt dans l’année dans le ver informatique Duqu. On pense que Duqu est lié à Stuxnetune cyber-arme sophistiquée qui, selon les experts, a été conçue pour saboter le programme nucléaire iranien.
Environ une semaine après que Kafeine ait mis en évidence l’utilisation de l’exploit Duqu dans Cool, le même exploit est apparu dans Blackhole. Comme Kafeine l’a documenté dans un autre article de blogil a été témoin de la même chose à la mi-novembre après avoir écrit sur un exploit inédit développé pour un Java vulnérabilité (CVE-2012-5076) ce Oracle patché en octobre. Kafeine a déclaré que ce modèle l’avait incité à deviner que Blackhole et Cool étaient l’œuvre du même auteur ou de la même équipe de logiciels malveillants.
« Il semble que dès qu’il est publiquement connu [that Cool Exploit Kit] utilise un nouvel exploit, cet exploit apparaît dans Blackhole », a déclaré Kafeine dans une interview avec BreachTrace.
Comme détaillé dans un excellente analyse par société de sécurité Sophos, Blackhole est généralement loué à des malfaiteurs qui paient pour l’utilisation du kit d’exploitation hébergé pendant un certain temps. Une licence de trois mois pour utiliser Blackhole coûte 700 $, tandis qu’une licence d’un an coûte 1 500 $. Les clients Blackhole peuvent également profiter d’une solution d’hébergement fournie par les propriétaires du kit d’exploitation, qui coûte 200 $ par semaine ou 500 $ par mois.
Blackhole est l’idée originale d’un gang de logiciels criminels dirigé par un mécréant qui utilise le surnom de « Paunch ». Joignable par message instantané, Paunch a reconnu être responsable du kit Cool, et a déclaré que son nouveau cadre d’exploit coûte la modique somme de 10 000 $ par mois.
Au début, je pensais que Paunch pourrait me tirer la jambe, mais ce prix a été confirmé lors d’une discussion par des membres d’un forum underground très exclusif. Peu de temps après que Kafeine ait écrit pour la première fois sur Cool Exploit Kit, un associé de Paunch a posté un message sur un forum semi-privé sur la cybercriminalité, annonçant que son équipe avait reçu un budget initial de 100 000 $ pour acheter des exploits de navigateur Web uniques, ainsi que des informations sur failles logicielles non corrigées. Voici une partie de cet article, traduit professionnellement du russe :
Chers mesdames et messieurs!
Tout le monde est conscient du problème qui existe maintenant sur le marché des exploits ! Pour résoudre ce problème, notre équipe a préparé le programme exclusif suivant d’achat de nouvelles vulnérabilités de navigateur et de plug-in de navigateur. Non seulement nous achetons des exploits et des vulnérabilités, mais aussi des améliorations aux exploits publics existants, et aussi toutes les bonnes solutions pour améliorer le taux d’exploitation.
La « viande » du projet : nous réservons un budget de 100 000 $ pour acheter des vulnérabilités de navigateur et de plug-in de navigateur, qui seront utilisées exclusivement par nous, sans être rendues publiques (sans compter les situations, lorsqu’une vulnérabilité est rendue publique non pas à cause de nous).
Non seulement nous achetons des exploits militarisés (prêts), mais également leurs descriptions et preuves de concepts (avec un travail conjoint ultérieur avec nos spécialistes).
L’équipe de Paunch a souligné qu’elle n’achèterait pas d’exploits déjà publics et que les débutants sur le forum de la fraude qui avaient néanmoins de bons exploits pourraient travailler avec l’équipe des logiciels criminels via un tiers convenu.
On ne sait pas combien de preneurs Paunch attire vers Cool Exploit Kit avec son prix élevé, mais selon Kafeine et les autres, le nouveau kit est utilisé exclusivement par deux gangs de logiciels criminels différents. L’un des gangs utilise Cool pour diffuser le rançongiciel Reveton que j’ai décrit récemment.
Si des mécréants ont la capacité de payer 10 000 $ par mois pour louer un pack d’exploits, les gangs qui diffusent Reveton font certainement l’affaire. Symantec a récemment publié une analyse approfondie du fléau des ransomwares (PDF), et dans ce document, la société a réussi à accéder à un panneau de contrôle utilisé par un gang de rançongiciels qui indiquait le nombre de connexions entrantes vers les sites piégés utilisés dans le stratagème. Symantec a estimé que ce groupe extorquait aux victimes de rançongiciels plus de 30 000 dollars par jour, et probablement près de 400 000 dollars par mois. C’est à égalité avec les montants que j’ai trouvés qu’une opération de ransomware gagnait en août 2012.
Source : Symantec
La meilleure façon d’éviter les rançongiciels et autres nuisances consiste à maintenir votre système à jour avec les derniers correctifs de sécurité et à supprimer les logiciels dont vous n’avez pas besoin ou que vous n’utilisez pas. Si votre système est infecté par un rançongiciel, vous ne devez en aucun cas payer la rançon. F-Secure propose une outil de suppression gratuitet Microsoft revendique son Disque hors ligne Windows Defender peut supprimer la plupart des rançongiciels.