Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Rappel :

Les réseaux criminels de « calcul distribué » s'appellent des « botnets » (réseaux de « bots » (« robots »)) et chaque appareil (ordinateur) dans le réseau est appelé « zombies ». Les « zombies » sont des ordinateurs individuels utilisés frauduleusement, squattés à l'insu de leurs propriétaires. Un « botnet » peut être constitué de plus d'un million d'ordinateurs zombifiés.

Voir les articles :

Le Botnet Gameover ZeuS

Gameover ZeuS (aussi connu sous le nom de Gameover) est un botnet peer-to-peer (P2P botnet) basé sur des composants du précédent botnet, ZeuS. Il est soupçonné d'avoir été créé en utilisant des spam piégés déployés par l'utilisation d'un autre botnet appelé Cutwail, spécialisé dans le spam.

Contrairement à son prédécesseur, ZeuS, Gameover ZeuS utilise un système de communication peer-to-peer crypté pour communiquer entre ses nœuds et ses serveurs C&C (commande et contrôle), ce qui réduit considérablement leur vulnérabilité aux opérations de détection et de maintien de l'ordre. L'algorithme utilisé semble être modélisé sur le protocole Kademlia P2P (table de hachage distribuée - DHT - Distributed Hash Table).

Selon un rapport publié par Symantec, Gameover Zeus a été largement utilisé pour de la fraude et de la distribution du ransomware appelé CryptoLocker.

Bitdefender a identifié deux variantes Gameover Zeus dans la nature, tous deux à croissance rapide (*) : l'un d'eux génère 1 000 domaines par jour et l'autre en génère 10 000 par jour.

Le 2 Juin 2014, le ministère de la Justice des États-Unis a annoncé officiellement que le week-end précédent, l'opération Tovar, un consortium constitué de :

  • Un groupe d'organismes d'application de la loi (y compris le FBI et Interpol)
  • Des fournisseurs de logiciels de sécurité
  • Plusieurs universités

avait perturbé le botnet Gameover Zeus (réduire temporairement la communication entre Gameover Zeus et ses serveurs de C&C (commande et contrôle) qui avait été utilisé pour distribuer le ransomware appelé CryptoLocker et autres logiciels malveillants. Le ministère de la Justice a également émis publiquement un acte d'accusation contre le hacker russe Evgueni Bogachev pour son implication présumée dans le réseau de zombies.

Dans le cadre de l'opération Tovar, la société de sécurité néerlandaise Fox-IT a pu se procurer la base de données de clés privées utilisées par CryptoLocker. En Août 2014, Fox-IT et son compatriote, le cabinet FireEye, ont développé un service en ligne qui permet aux utilisateurs infectés de récupérer leur clé privée par le téléchargement d'un fichier d'échantillon : ils reçoivent ensuite un outil de décryptage.

Pour le décryptage (déchiffrement) des fichiers chiffrés par CryptoLocker, voir l'article CryptoLocker.