Sophos Security Threat Report 2014

Rapport Sophos 2014 sur les menaces la scurit
Des malwares plus dangereux, plus discrets et plus efcaces
Sommaire
1
Avant-propos
14
Malwares de type Web : plus sophistiqus, varis et camous
Kits d'exploits : Blackhole la trane derrire des modles plus volus............................................................................15 Propagation mondiale de Zbot...........................................................16 Conseils pratiques pour protger votre serveur Web et vos clients...................................................................................17
2
Introduction : les malwares voluent en 2013
4
Les botnets s'tendent et deviennent plus furtifs
Tendance 2013 : ZeroAccess: impact par la redirection de son trac d'attaque (sinkholing) mais rebondit rapidement..... 5 Dtections ZeroAccess par pays.........................................................6 Les Botnets exploitent Bitcoin.............................................................6
18
Menaces ciblant les comptes nanciers
20
Windows : le danger croissant des systmes sans correctifs
7
Malwares Android : transformation et gain d'efcacit
Dtections des malwares Android les plus diffuss, octobre 2013............................................................................. 8 Anatomie d'un mobile pirat : comment les pirates tirent prot des smartphones...........................................................................9
22
Le spam se rinvente
Juin 2013 : le spam en pice jointe, ou comment tlcharger une montagne d'ennuis.........................................................................23
10
Linux : une technologie capitale qui attire les criminels
24
SophosLabs : comment garder une longueur d'avance sur les attaques les plus complexes de notre poque
12
Mac OS X : une anne marque par une multitude de petites attaques
4 conseils pratiques pour protger facilement votre Mac......13
26
Tendances observer en 2014
29
En conclusion
Sources...................................................................................................... 30
Pour accder des ressources supplmentaires et aux outils rfrencs dans le rapport, rendez-vous sur
sophos.fr/threatreport
Avant-propos
La tendance la plus marquante de cette anne 2013 fut le recours au camouage de plus en plus courant des attaques de malwares. Grce la distribution massive de botnets sophistiqus et de code source de kits d'exploits, les auteurs de malwares ont t capables de mettre au point des attaques plus volues et diversies.
Les cybercriminels proposent dsormais leurs services sur le march noir l'aide de solutions de commercialisation en-ligne. Le kit d'exploit Blackhole, pourtant la pointe de l'innovation en 2012, s'est vu dpasser cette anne par plusieurs autres kits d'exploits bass en partie sur le mme code. Les botnets ainsi crs sont responsables de l'augmentation massive des ransomwares, comme Cryptolocker. Les malwares modernes se caractrisent principalement par leur furtivit. L'une des menaces furtives les plus virulentes actuellement, les APTs (menaces persistantes avances), cible trs prcisment les donnes des individus, des entreprises et des gouvernements. Les APT sont donc des armes ultra sophistiques pour livrer des attaques cibles dans le cyber-espace. L'anne 2013 a connu un nombre considrable de fuites de donnes dont l'espionnage industriel et la divulgation de donnes d'entreprise). Les APT que nous avons dtectes cette anne taient bien organises, bien nances, et menes par des individus ultra-motivs, comptents, et utilisant des technologies de pointe. Une fois sa mission acheve, l'APT continue rcolter des informations supplmentaires. Pour se dfendre contre la nature furtive et persistante des APT, il est ncessaire d'adopter une approche coordonne la fois sur les systmes et au niveau du rseau. La scurit n'est plus un luxe mais une ncessit. Les entreprises et les gouvernements concerns juste titre par la protection des donnes sensibles et la condentialit, ont dsormais le devoir de connatre la nature des problmes de scurit pesant sur les systmes d'infrastructures critiques. Nous ne pouvons plus considrer la scurit des guichets automatiques, des systmes aronautiques, et des systmes permettant l'approvisionnement en eau et en lectricit, comme acquise et immuable. Ces rseaux vitaux ont fait l'objet d'attaques rcentes, ce qui dmontre bien la vulnrabilit de l'infrastructure fondamentale sur laquelle nous reposons tous. Ces systmes, dont ceux des infrastructures de rseu intelligent smart grid, pourraient bien tre viss nouveau au cours de l'anne venir. La popularit croissante de l'"Internet des objets" (appareils mobiles, applications, rseaux sociaux, gadgets interconnects) fait que les menaces sont galement en essor constant. De nouvelles menaces font leur apparition mesure que des technologies mergentes, telles que la communication sans contact (NFC), sont intgres dans les plates-formes mobiles. Par ailleurs, l'usage de services GPS innovants, pour relier nos vies digitales et physiques fournit encore plus d'opportunits aux cybercriminels de compromettre scurit et condentialit. Ces systmes pourraient bien engendrer des attaques susceptibles de nous toucher tous trs personnellement. En 2014, il sera donc crucial non seulement d'observer l'volution des attaques existantes, mais aussi l'apparition de nouveaux types inconnus jusque-l. Bonne lecture,
Gerhard Eschelbeck Directeur technique, Sophos
Introduction : les malwares voluent en 2013

Depuis notre prcdent rapport de 2012, les malwares et les menaces la scurit informatique se sont dvelopps et ont mri, et leurs auteurs, ainsi que les diteurs de code et de sites malveillants, sont devenus plus aptes camouer leurs attaques.
L'anne 2013 a vu prolifrer les botnets et les kits d'exploits ultra-sophistiqus, et une nouvelle gnration d'auteurs de malwares s'inspirer de l'exprience et du code source de leurs prdcesseurs. Les cyberciminels savent dsormais viter plus facilement la dtection en utilisant le chiffrement et sappuient massivement sur ledarknet, une section anonyme du Web non-surveille, qui abrite leurs serveurs. Les priphriques mobiles et certains services Web sont de plus en plus cibls en raison de leur popularit croissante auprs des utilisateurs. Cette anne, les malwares pour Android ont volu en complexit et en maturit, et des attaques ultra discrtes telles que Darkleech ont pris le contrle de milliers de serveurs Web. Dans le mme temps, les utilisateurs Windows, eux, se prparent l'arrt des mises a jour de scurit pour Windows XP et Ofce 2003 et se demandent quelles attaques du jour zro perptuel ils devront faire face.
Sophos et d'autres diteurs de scurit dtectent de plus en plus de menaces destines des entreprises, des industries ou des organismes gouvernementaux spciques. Les attaques sur les transactions et comptes nanciers ont commenc franchir les limites des pays dEurope de lEst, o elles s'taient concentres jusqu' prsent. Certaines menaces restent cycliques : elles reviennent plusieurs fois avant de disparatre pendant quelques annes. Nous avons par exemple constat le retour des arnaques de pump-and-dump (spam lis des cours de stock options) que l'on pensait avoir t radiques il y a quelques annes par la commission amricaine des titres et de la Bourse. Nous avons galement rencontr cette anne une nouvelle version de ransomware particulirement virulent connu sous le nom de Cryptolocker. Bien que le ransomware existe depuis presque 25 ans, cette nouvelle version soutire de l'argent l'utilisateur en lui bloquant l'accs ses chiers au moyen d'une technique de chiffrement trs robuste.
Heureusement, l'anne 2013 a aussi connu des vnements positifs, comme l'attestent les informations suivantes. Le crateur prsum de Blackhole, un au mondial en 2012, a t arrt en octobre, preuve d'une ractivit accrue des autorits l'encontre de la cybercriminalit. Google a fait des progrs techniques dans le domaine de la protection de sa plate-forme Android et a mis en place un rglement plus strict l'gard des applications malveillantes et potentiellement indsirables. Les experts des SophosLabs ont dcouvert des mthodes rvolutionnaires pour dtecter et dsinfecter les menaces, en sappuyant sur les technologies d'informatique dans le Cloud et les approches Big Data. Que vous soyez une PME, une grande entreprise, une cole, un organisme gouvernemental ou encore un particulier, notre lutte commune contre les malwares continue avec vous. Et comme toujours, nous nous engageons vous fournir les outils indispensables votre protection.
Les botnets s'tendent et deviennent plus furtifs

Au cours des 12 derniers mois, les botnets se sont propags tout en devenant plus rsistants et discrets. Il semblerait par ailleurs qu'ils s'attaquent des cibles de plus en plus dangereuses.
Jusqu' prsent, le code source des botnets tait toujours gard secret par ses auteurs. Il arrivait mme que ceux-ci vendent leur code prix d'or lorsqu'ils se retiraient du jeu. Or rcemment des fuites de code source ont permis de nouveaux criminels de crer leurs propres botnets et de les faire voluer dans des directions jusqu'alors inimaginables. C'est le cas notamment de Gameover, cr suite la fuite du code de Zeus il y a quelques annes. Celui-ci a remplac le lien du centre de commande et de contrle (C&C) de Zeus par un rseau P2P d'ordinateurs infects. Gameover est dot de mcanismes de communication de secours; utilise plus de techniques de chiffrement; et peut excuter des commandes plus varies, comme faire participer la machine des attaques par dni de service distribu (DDoS) de grande envergure.1 Des botnets plus rsistants Les botnets intgrent dsormais plusieurs formes diffrentes de centre de commande et de contrle de secours. Par exemple, si un client infect par un botnet tel que Gameover ne russit pas se connecter d'autres machines infectes du rseau, il excute des algorithmes de "gnration de domaine" intgrs. Il lui suft alors de dtecter un seul nouveau serveur de C&C pour permettre au client de restaurer son rle actif au sein du botnet.2 Les oprateurs de botnets sont aussi plus ractifs aux contremesures. Un certain diteur d'antivirus avait russi gagner un contrle partiel du botnet ZeroAccess, en redirigeant le trac de 500 000 clients infects vers l'un de ses serveurs (technique dite de "sinkholing").3 Grce des rseaux aflis, les oprateurs du botnet ont immdiatement ragi en augmentant le nombre de droppers qu'ils plaaient sur les clients. En l'espace de quelques semaines, les clients perdus avaient t remplacs, et les nouvelles versions ntaient plus vulnrables cette technique de prise de contrle (sinkholing).
4

En savoir plus
Rseaux zombie: La face cache du Cloud Ransomware: Hijacking Your Data Back Channels and Bitcoins: ZeroAccess Secret C&C Communications Watch Cryptolocker in Action
Les botnets distribuent des ransomwares plus dangereux Plus les utilisateurs sont duqus propos des escroqueries en ligne et des faux antivirus, plus les botnets sorientent vers les ransomwares. Les criminels demandent dsormais des sommes exorbitantes aux utilisateurs pour leur rendre l'accs leurs donnes. Cryptolocker est sans aucun doute le ransomware le plus dangereux et le plus rpandu actuellement. Celui-ci s'ajoute la liste de programmes Windows qui s'excutent au dmarrage. Puis il dtecte un serveur infect, envoie un chier ID de l'ordinateur hte, cherche une cl publique dans le serveur (qui contient galement la cl prive correspondante), et grce cela, encode toutes les donnes et les chiers image qu'il peut trouver. Le seul moyen de rcuprer les donnes chiffres est d'utiliser la cl prive, pour laquelle les criminels demandent une ranon (que nous vous dconseillons de payer).4 Bien que Cryptolocker soit parfois diffus par courriel, il est le plus souvent distribu par des botnets qui ont dj le contrle de votre ordinateur. Et pour cela, rien de plus facile : les bots rpondent tout simplement une commande de mise niveau permettant aux criminels de mettre jour, de remplacer ou de complter des malwares dj prsents sur l'ordinateur. Quand l'utilisateur s'en rend compte il est dj trop tard.5
Hausse des botnets distribuant des malwares bancaires Le code source de Carberp, un kit de dtournement d'identiants bancaires responsable du vol de plus de 250 millions de dollars, a t dissmin mi 2013.6 Il a depuis franchi les frontires russes, son domaine d'origine, et nous avons reconnu des lments de son code source dans d'autres botnets Ce code est bas sur le code du kit Power Loader, qui grce des techniques d'avant-garde, russit livrer les malwares sans tre dtect.7 En Europe et au Royaume-Uni, de nombreux utilisateurs ont rencontr Shylock/Caphaw, un malware bancaire distribu par botnet qui cible les clients des plus grands organismes nanciers tels que Barclays, Bank of America, Capital One, Citi Private Bank, et Wells Fargo.8
Tendance 2013 : ZeroAccess est frapp par la redirection du trac d'attaque (sinkholing), mais rebondit rapidement Le sinkholing ralis par les diteurs de scurit avait russi faire chuter le nombre de systmes infects par ZeroAccess dtects par Sophos en juillet et aot 2013. Pourtant en septembre, un nombre record d'ordinateurs se trouvaient nouveau infects par le botnet, preuve de l'extrme ractivit des oprateurs de ZeroAccess.
Source: SophosLabs Jan. Fv. Mars Avr. Mai Juin Juil. Aot Sept. Oct. Nombre d'chantillons
Des botnets plus furtifs Dans certains botnets, la premire adresse de C&C que le client infect tente de contacter ne fait pas partie d'un botnet. C'est un domaine lgitime (mais pirat), difcile bloquer. Souvent, le client botnet contacte un serveur PPP (type de serveur daccs distant) en mode proxy, qui redirige la connexion. Par consquent, si l'on cible le premier serveur, un simple proxy, l'on n'atteint pas le vrai centre de commande du botnet.
Les botnets utilisent de plus en plus le "darknet" Les botnets utilisent de plus en plus souvent les rseaux cachs tels que Tor, qui chappent la surveillance.9 Celui-ci a permis notamment des organismes tels que Wikileaks de protger leurs sources, et hberge le march noir Silk Road, connu pour sa facilitation de transactions illicites. Les botnets peuvent cacher des serveurs de C&C sur le rseau Tor, ce qui les rend inniment plus difciles dtecter. Pour se protger, les entreprises interdisent souvent leurs employs d'utiliser Tor, et contrlent les applications pour viter l'utilisation de logiciel client du navigateur Tor.
Dtections ZeroAccess par pays En octobre 2013, ZeroAccess contrlait des milliers de systmes aux Etats-Unis et au Royaume-Uni, et tait largement dtect en Allemagne, Australie et Italie. Systmes d'extrmit Etats-Unis 6,754 Royaume-Uni 1,625 Allemagne 747 Australie 622 Italie 458 Canada 360 France 340 Pays-Bas 170 Espagne 110 Autres 1,014
Source: SophosLabs
La gnration de Bitcoins par les botnets : une autre source de revenus permise par les malwares
Les oprateurs de botnets sont constamment la recherche de nouvelles faons de s'enrichir. Lexploitation de Bitcoins, une monnaie lectronique totalement indpendante, s'est avr trs lucratif en 2013. La valeur du Bitcoin a uctu entre $150 et $200 USD au cours des derniers mois.10 Les nouveaux Bitcoins sont crs en utilisant des problmes mathmatiques complexes qui demandent une puissance de traitement informatique importante que les plus gros botnets mondiaux sont en mesure de fournir. Entre mai 2012 et fvrier 2013, et pour trois semaines en avril 2013, les clients du botnet ZeroAccess furent utiliss pour gnrer des Bitcoins.11
Bien que les Bitcoins aient considrablement augment durant cette priode, ZeroAccess a ni par dsactiver la fonctionnalit. Pourquoi? Nous n'en sommes pas entirement srs, mais peuttre que l'opration attirait trop d'attention ou ne rapportait pas autant que la fraude au clic. Certains parlent d'un nouveau moyen de gnrer les Bitcoins, bien plus efcace que la distribution par botnet.12 Bien que ZeroAccess ne gnre plus de Bitcoins, d'autres oprateurs de botnets n'abandonnent pas l'ide pour autant. L'expert en scurit Brian Krebs a dcouvert que le botnet russe FeodalCash effectuait de plus en plus d'oprations de gnration depuis le mois de mai 2013.13
Malwares Android : transformation et gain d'efcacit

Les malwares pour Android continuent se multiplier et voluer dans les pas de Windows. Il y a nanmoins des amliorations en matire de scurit.
Nous avons enregistr plus de 300 familles de malwares pour Android depuis la premire dtection en aot 2010. Une grande partie de l'cosystme de ces malwares suit le mme parcours que les malwares pour Windows ont suivi il y a quelques annes. Experts en camouage Nous avons remarqu rcemment que les malwares pour Android emploient des techniques de plus en plus ingnieuses pour contourner et contrer les mthodes de dtection. Prenons l'exemple de Ginmaster. Dtect pour la premire fois en Chine en aot 2011, ce programme de type cheval de Troie est inject dans de nombreuses applications distribues sur des marchs tiers. En 2012, Ginmaster commenait djouer les techniques de dtection en camouant les noms de classe, en chiffrant les URL et les instructions de C&C, et en adoptant des techniques de polymorphisme propres aux malwares pour Windows. Et en 2013, les dveloppeurs de Ginmaster mettaient en uvre des techniques de camouage et de chiffrement bien plus complexes, les rendant beaucoup plus difciles dtecter et rtroanalyserr.14 Ginmaster n'a pas cess de se propager depuis dbut 2012, jusqu' enregistrer plus de 4 700 chantillons entre fvrier et avril 2013.
Nouveaux botnets pour Android Des rapports rcents font tat dun botnet de grande envergure contrlaant des priphriques Android, tout comme d'autres dans le domaine du PC. Ce botnet, que Sophos dtecte sous le code Andr/GGSmart-A, semble jusqu' prsent se limiter la Chine. Il utilise la technologie de centre de commande et de contrle pour communiquer avec les appareils mobiles infects, provoquant par exemple l'envoi de SMS surtaxs qui sont facturs au propritaire du priphrique. Contrairement aux attaques Android typiques, il a la capacit de modier et de contrler les numros de SMS surtaxs, le contenu, et mme les programmes d'aflis sur l'ensemble de son vaste rseau. C'est le malware pour Android le plus efcace et le plus dangereux de sa gnration.15 Les ransomwares s'attaquent Android Le concept du ransomware est relativement ancien, les premiers cas datant d'il y a 25 ans. Celui-ci opre en prenant vos chiers ou votre priphrique en otage, et en vous demandant une ranon an d'en regagner l'accs. En juin 2013, Rowland Yu, chercheur Sophos, a dcouvert le premier cas de ransomware sur Android. Android Defender, un malware hybride entre faux antivirus et application ransomware, exige un paiement de $99.99 pour rendre l'accs au priphrique retenu.
Au dmarrage, l'apparence professionnelle d'Android Defender lui permet de rechercher, sans veiller les soupons, les droits d'administrateur grce une multitude de techniques d'ingnierie sociale. S'il les obtient, il peut limiter l'accs toutes les autres applications, bloquant ainsi les fonctions d'appel, de paramtrage, d'arrt des tches, de dsinstallation des applications, ou mme de rinitialisation. Il afche un message d'avertissement visible l'cran, quoi que fasse l'utilisateur. Il est mme capable de dsactiver les touches Retour/Home puis de s'excuter lors du prochain dmarrage pour viter d'tre supprim. L'une des seules choses qu'il n'est pas capable de faire pour l'instant, c'est de chiffrer votre contenu ou vos donnes personnelles.16 Nous nous attendons nanmoins vous l'annoncer dans le prochain rapport. Le dtournement de fonds via smartphone En septembre 2013, nous avons dtect une nouvelle forme de malware bancaire destin dtourner des fonds via Android grce une combinaison de techniques d'ingnierie sociale et d'attaques de type "man-in-the-browser" contre Windows. Parfois appel Qadars, les SophosLabs le dtecte sous le code Andr/Spy-ABN. Bien que le taux de dtection soit relativement faible en ce moment, il a dj frapp des organismes nanciers franais, nerlandais et indiens.
Dtections de malwares Android les plus vastes, octobre 2013 Bien qu'aucune famille de malwares pour Android ne prdomine actuellement, la plus dtecte est Andr/BBridge-A. Ce cheval de Troie installe des applications malveillantes sur le priphrique l'aide d'un exploit qui excute une escalade de privilges. Andr/BBridge-A s'est montr trs persistant : il occupait dj la seconde place de notre liste d'infections en juin 2012.17 Andr/BBridge-A Andr/Fakeins-V Andr/Generic-S Andr/Qdplugin-A 9% 6% 5% 3% Andr/Adop-A Andr/Boxer-D Andr/SmsSend-BY Andr/DroidRt-A 2% 2% 2% 2% Andr/SmsSend-BE Andr/MTK-B Autres 2% 2% 65%
NB : les pourcentages sont arrondis la hausse Source: SophosLabs

En savoir plus
GinMaster: A Case Study in Android Malware iPhone vs. Android vs. Windows Phone 8 Rise of Mobile Malware
Outil gratuit
Sophos Mobile Security pour Android
Tout comme son prdcesseur Zeus, Andr/Spy-ABN commence par agir du ct de Windows o il injecte du code dans Internet Explorer pour intercepter les donnes de l'utilisateur avant qu'elles ne soient chiffres et envoyes vers l'organisme nancier. Il capture galement les certicats personnels du navigateur et les cookies. Une fois authenti, l'utilisateur est inform que par mesure de scurit (quelle ironie!) sa banque exige maintenant une nouvelle application pour smartphones. Sur saisie de son numro et du modle du tlphone, il reoit un SMS contenant un lien vers l'application malveillante. Comme si cela ne sufsait pas, le code inject empche l'utilisateur d'accder ses comptes jusqu' ce que le malware soit install et lui fournisse un code d'activation.18
Scurisez votre Android La plate-forme Android a rcemment fait l'objet d'amliorations de scurit. Contrairement aux versions prcdentes, Android 4.3 n'autorise plus le tlchargement automatique des applications. Google est galement plus strict envers les dveloppeurs, surtout dans le cas des applications potentiellement indsirables, qui ne sont pas des malwares proprement parler, mais qui sont souvent trop intrusives. Google interdira dsormais certains formats d'applications et d'annonces, notamment l'insertion d'annonces tierces ou de liens sur la page d'accueil, le changement de la page d'accueil du navigateur, ou l'utilisation de la zone de notication du systme des ns diffrentes.19
Anatomie d'un mobile pirat : comment les pirates tirent prot des smartphones Votre appareil Android vous parat peut-tre inoffensif, mais une fois pirat, il peut surveiller vos moindres faits et gestes et usurper votre identit, participer aux activits dangereuses d'un botnet, drober vos donnes personnelles et mme votre argent.20
350000
Echantillons de malwares pour Android dtects par les SophosLabs*
Surveillance

Usurpation d'identit
Audio Appareil photo Journal d'appels Situation gographique Messages SMS
Redirection de SMS Expdition de messages lectroniques Publication de messages sur les rseaux sociaux
$5.4 millions
Cot moyen d'une fuite de donnes aux Etats-Unis en 20121
Financier Vol de donnes 113

Smartphones perdus chaque minute aux Etats-Unis2
*
Dtails de compte Contacts Journal d'appels Numro de tlphone Dtournement de donnes via des applications vulnrables Dtournement du numro d'identit international d'quipement mobile (IMEI)
Envoi de SMS surtaxs Dtournement de numros d'authentication de transaction (TAN) Extorsion de fonds via ransomware Faux antivirus Appels surtaxs
Activit du botnet
$99.99
Prix demand par le ransomware Android Defender*
Source : SophosLabs 1 Source : 2013 Cost of Data Breach Study, Ponemon Institute 2 Source : Whats the Worst U.S. City for Smartphone Theft?, Mashable
Lancement d'attaques par DDoS Fraude au clic Envoi de SMS surtaxs
Linux : une technologie capitale qui attire les criminels

La plate-forme Linux attire les criminels du fait de la popularit de ses serveurs en tant que plateforme de site et contenu Web.
Bien que Linux ne fasse l'objet que de trs peu d'attaques par rapport Windows et Android, le ux modeste de scripts et d'excutables qui l'attaquent est constant. Nous dtectons galement de nombreux malwares qui ciblent des services conus indpendamment de la plate-forme qui les hberge, souvent excuts sur des serveurs Linux. Plusieurs raisons expliquent pourquoi les serveurs Linux sont devenus plbiscits par les criminels cherchant rediriger du trac vers leurs logiciels malveillants. Premirement, de nombreux serveurs Web sont excuts sous Linux, y compris certains des sites Web les plus importants du monde entier. Deuximement, comme Linux est considr plus sr que les autres systmes d'exploitation, il est rarement soumis au mme degr de surveillance. De ce fait, un serveur Linux peut rester infect pendant des mois ou mme des annes, constituant un retour sur investissement exceptionnel pour les criminels. Nos recherches nous ont montr qu'une grande majorit des serveurs impliqus dans la redirection de trac vers des pages malveillantes sont des serveurs Linux. Par consquent, bien que le volume de malwares s'excutant sur Linux soit plus limit, il est important de rester vigilant l'gard des infections. Nous dtectons tous les mois des dizaines de milliers d'chantillons de code malveillant excut sur des serveurs Linux, et ce malgr les mesures extrmes prises par les auteurs de malwares pour camouer leurs scripts PHP (un langage ct serveur frquemment utilis pour la programmation des sites Web).
10

En savoir plus
Naked Security : Linux
Nous voyons un grand nombre de scripts PHP malicieux qui jouent le rle de "nuds" dans un systme de distribution plus large afli un botnet, qui permet au systme d'excuter des charges virales malveillantes telles que les attaques par dni de service. (pour plus d'informations sur les attaques de serveurs Web telles que Darkleech et Redkit, voir page 16.) Les scripts PHP pirats s'excutent souvent sur des platesformes vulnrables telles que les versions non corriges de WordPress.21 Par exemple, en 2013, nous avons dtect un exploit dans le moteur PHP excutant le systme de gestion de contenu Plesk. Une certaine commande permettait aux criminels de gagner l'accs au moteur et d'excuter le script PHP de leur choix.22 Plus les administrateurs ajoutent de scripts et de services tiers, plus ils largissent la surface d'attaque de leurs systmes Linux. Ceci souligne l'importance d'installer les correctifs rapidement et d'adopter une approche multiniveaux de la protection du systme d'exploitation Linux et des services qu'il excute.
Souvent, les serveurs de chiers Linux traditionnels hbergent des malwares ciblant Windows et d'autres systmes d'exploitation. Par consquent, mme si un serveur Linux n'est pas lui-mme directement vis, il peut infecter les priphriques auquel il est reli. En 2013, nous avons ralis nos premires dtections de gros volumes de malwares pour Android sur les systmes Linux. Bien sr, si un serveur Linux, un hbergeur de script, ou un serveur Web est infect par du malware, celui-ci peut facilement dtecter les requtes HTTP provenant d'appareils Android, et distribuer les malwares en fonction. Il est donc important que tout systme Linux qui fournit des services Windows ou d'autres clients soit quip d'un logiciel antimalware.
11
Mac OS X : une anne marque par une multitude de petites attaques

Bien que cette anne, Mac OS X n'a pas fait l'objet d'attaques marquantes, nous avons tout de mme dtect une ux constant de petites attaques cratives et diverses. Restez vigilant.
Bien que cette anne la plate-forme Mac OS X n'ait pas subi d'attaque galant l'tendue mondiale de Flashback en 2012, les attaques ont continu voluer en 2013, sous des formes diverses : chevaux de Troie, attaques contre les vulnrabilits de Java et les formats des documents Word, plug-ins agressifs, JavaScript malveillant et malwares conus pour passer outre la protection Apple Gatekeeper grce une fausse identit Apple Developer. En fvrier 2013, l'agence Reuters publiait la nouvelle que les Macs des employs Apple avaient t pirats par une nouvelle vulnrabilit dans Java, la mme qui avait touch Facebook la semaine prcdente23 et qui a attaqu l'unit Mac de Microsoft quelque temps aprs.24 Distribue via un site pour dveloppeurs de logiciels, cette campagne watering hole est sans doute un signe que les pirates savent qu'il est parfois plus facile de s'inltrer dans une entreprise via des petits sites frquents par leurs employs plutt que d'attaquer directement leur infrastructure principale, gnralement bien protge. Chevaux de Troie pour Mac En 2012, AlienVault et Sophos dcouvraient des chevaux de Troie type porte drobe qui infectaient des ordinateurs Mac par le biais de documents Word pigs. Ces attaques taient intgres dans des documents qui prtendaient aborder le thme de la violation des droits de l'homme au Tibet, portant croire que l'attaque avait t organise par des sources proche du gouvernement chinois.25 En fvrier 2013, des documents portant sur des abus perptrs l'encontre de minorit oughoure du Turkestan oriental hbergeaient le mme type de malware. Toutes ces attaques exploitent une vulnrabilit de Word 2004/2008 depuis longtemps corrige par Microsoft (MS09-027).26 Que vous vous trouviez ou non dans cette partie du monde, pensez donc installer le correctif en question si vous utilisiez cette version du logiciel. S'il s'agit d'attaques cibles, elles sont loin d'tre les seules. Le mois de septembre 2013 a vu l'apparition de OSX/BckdrRQV, une nouvelle attaque de porte drobe qui, une fois
12

Outil gratuit
Sophos Antivirus pour Mac dition familiale
installe, divulgue un ensemble d'informations concernant la machine infecte. Selon Intego, certaines versions tentent de tlcharger une image de la Syrian Electronic Army, un groupe de pirates qui se vantait dtre l'origine d'une cyberguerre en faveur du gouvernement syrien de Bashar al-Assad.27 Attaques par Apple Developer ID Dans les versions les plus rcentes d'OS X, l'outil Gatekeeper permet l'installation par dfaut de logiciels obtenus via la boutique Apple, ou sign viaune signature Apple Developer ID. Mais que se passe-t-il si un logiciel malveillant russit s'approprier la signature? C'est ce qui est arriv entre dcembre 2012 et fvrier 2013, quand des applications "Christmas Card" malveillantes, signes par le dveloppeur Apple Rajinder Kumar, furent distribues par courriel. Avant que son identit ne soit rvoque par Apple, plusieurs utilisateurs avaient lanc la charge virale OSX/HackBack-A : un malware qui tlchargeait des versions compresses de leurs documents sur un serveur distant.28 Mais Christmas Card n'a pas t le seul malware pour Mac de l'anne. Cet t, le cheval de Troie Janicab, bas sur Python, utilisait la mme technique.29 Il est possible que d'autres attaques du mme genre aient chapp la dtection, et dans le cas contraire, il est probable que d'autres fassent leur apparition l'avenir.
Adwares et ransomwares 2013 a vu l'essor des adwares agressifs, entre logiciels potentiellement indsirables et malwares, non seulement dans Android mais aussi dans les navigateurs. Souvent, ces plug-ins utilisent un installateur agressif (qui ignore mme parfois les prfrences de l'utilisateur), se font passer pour des codecs vido exigs par l'utilisateur (OSX/FkCodec-A),30 ou convainc l'utilisateur d'accepter l'installation. En parlant de navigateurs, certains utilisateurs de Mac Safari ont fait les frais d'une version infrieure de ransomware en 2013. Tout comme les autres ransomwares, il afchait de faux messages provenant prtendument des autorits, demandant l'utilisateur de payer une amende pour avoir visionn ou tlcharg du contenu illicite. Contrairement au ransomware le plus dangereux de l'anne (Cryptolocker, qui ne touche que Windows), ce malware Mac ne chiffre pas les chiers. Il excute simplement un code JavaScript qui capture le navigateur, et qui rapparat aprs une sortie force. Heureusement, ce JavaScript peut tre supprim sans subir de cots ni de dgts, en slectionnant Rinitialiser Safari dans le menu Safari.31 Pour terminer, comme dans le cas des serveurs Linux, les serveurs (et parfois les clients) Mac OS X hbergent souvent des malwares inactifs jusqu' tre transfrs vers un systme Windows. De nombreux utilisateurs excutent des machines virtuelles Windows sous OS X l'aide de logiciels tels que Parallels Desktop. Ces machines virtuelles sont tout aussi exposes aux malwares que les systmes Windows classiques. Les utilisateurs Mac qui utilisent rarement Windows ne devraient pas pour autant ngliger leur protection.
4 conseils pratiques pour protger votre Mac
Les malwares sont moins frquents sur Mac que sur Windows ou Android, mais ils ne sont pas inexistants, et il est important de s'en dfendre. Heureusement, vous pouvez rduire les risques en suivant ces quelques conseils. Supprimez Java moins d'en avoir rellement besoin. Si vous ne pouvez pas le supprimer compltement, retirez-le au moins de votre navigateur, o se trouvent les pires menaces Java. Il est de plus en plus facile d'viter Java dans Mac. OS X Lion et les versions suprieures ne l'installent plus par dfaut, et si vous l'installez quand mme, le systme d'exploitation le supprime automatiquement aprs 5 semaines d'inactivit.32 Installez rgulirement les correctifs. De nombreuses attaques pourraient tre vites si l'utilisateur installait les correctifs ds leur sortie. Il y a bien sr toujours des nouvelles vulnrabilits
corriger : la mise jour OS X 10.8.5 de septembre 2013 a corrig des failles d'excution distance dans plusieurs parties du systme, de CoreGraphics ImageIO en passant par PHP et QuickTime.33 Si votre version de OS X le permet, tlchargez uniquement les applications de l'App Store Mac. Vous pourrez toujours occasionnellement contourner la restriction pour tlcharger une application lgitime, mais tout en sachant que vous tes bien protg le reste du temps. quipez votre Mac d'un antivirus, si ce n'est pas dj fait. Si vous tes un particulier qui utilise actuellement un Mac sans antivirus, nous vous offrons l'opportunit de protger votre ordinateur avec une solution gratuite de niveau professionnel : tlchargez Sophos Antivirus pour Mac dition familiale, qui bloque mme les menaces de type Web nouvelle gnration.
13
Malwares de type Web : plus sophistiqus, varis et camous

L'anne 2013 a vu une croissance des kits d'exploits et les attaques dangereuses visant les serveurs Web, entranant une hausse des tlchargements passifs.
Comme nous l'avons dj mentionn dans notre section sur les malwares pour Linux, les attaques sous forme de modules malveillants Apache ont fortement augment cette anne. Une fois install sur le site lgitime pirat, le module exploite les failles connues du navigateur pour lancer des tlchargements passifs. Darkleech attaque les serveurs Web Le malware Web le plus important cette anne fut Darkleech, qui en l'espace de 5 mois avait dj infect plus de 40 000 domaines et adresses IP, dont 15 000 au mois de mai. Des sites Web importants tels que ceux du Los Angeles Times et de Seagate ont t touchs. Les serveurs Web infects par Darkleech sont responsables d'avoir distribu des malwares extrmement virulents tels que le ransomware Nymaim, qui aprs avoir chiffr les chiers de l'utilisateur, lui demande $300 en change de la cl.34 Nous avons dcouvert que 93% des sites infects par Darkleech excutaient Apache.35 En mars 2013, Darkleech et d'autres attaques associes constituaient presque 30% de toutes les menaces Web dtectes sur les machines et appliances Web des clients, soit la menace la plus importante de sa catgorie. Certaines de ces attaques sont conues pour tre difciles reproduire. Elles peuvent par exemple n'tre lances qu'une fois sur dix, portant l'administrateur croire que le problme, si toutefois il y en a un, ne provient pas du systme local. Darkleech garde des listes noires pour s'assurer que chaque adresse IP ne soit sollicite qu'une seule fois. Beaucoup de criminels vitent galement de frapper les adresses IP qu'ils souponnent appartenir au domaine de la scurit ou aux moteurs de recherche.
14

En savoir plus
Choisir votre fournisseur d'hbergement Malware B-Z: Inside the Threat From Blackhole to ZeroAccess Les cinq tapes d'une attaque de malware Web Malware 101
Ces attaques envers les serveurs Web soulignent le besoin d'une meilleure collaboration entre les diteurs de scurit et les hbergeurs de sites Web, pour mieux comprendre les attaques aussi complexes et subtiles que Darkleech. Du point de vue technique, celles-ci sont dj exceptionnellement difciles dtecter. Nous avons aid plusieurs hbergeurs nettoyer leurs serveurs. Mais comme l'hbergement est une activit faible marge, il n'est pas rare que ceux-ci remplacent les serveurs infects par de nouveaux serveurs virtuels plutt que de diagnostiquer la cause du problme. Et puisqu'ils ne prennent pas le temps de comprendre, le problme se transmet rapidement sur les nouveaux serveurs. Il est donc conseill de se renseigner sur les procdures que suit son hbergeur en cas d'infection, et s'il a des mesures en place pour viter la rinfection. Davantage de malvertising On appelle "malvertising" les annonces malveillantes distribues sur les rseaux publicitaires et sites Web lgitimes. Ce phnomne, qui existe depuis longtemps, a connu une recrudescence en 2013, touchant mme des grands sites tels que YouTube. De nos jours, il apparat le plus souvent sous forme de contenu Flash malveillant. Si l'utilisateur clique sur l'annonce Flash, il risque d'tre rorient vers un site malveillant grce du code ActionScript. Un trs bon exemple de cheval de Troie rcent est Troj/SWFRed-D. Prsent dans de nombreuses publicits YouTube en 2013, celui-ci redirige l'utilisateur vers le kit d'exploit Styx, ce qui explique pourquoi ce dernier est devenu aussi courant ces derniers temps (voir le tableau cidessous).
L'annonce contenant du code ciblant les failles dans le lecteur Flash du client, il peut mme infecter les utilisateurs Flash sans les rediriger. Au-del de Blackhole : tout un monde de kits d'exploits Notre rapport 2012 couvrait en profondeur Blackhole, le kit d'exploit d'avant-garde qui permettait aux auteurs de malwares de distribuer potentiellement n'importe quelle charge virale. Bien que ce kit existe toujours (il est d'ailleurs utilis dans les attaques Darkleech dont nous avons parl cidessus), il n'est plus unique en son genre. Plusieurs groupes de criminels ont russi crer de nouveaux kits d'exploits ultra-puissants bass sur les innovations de Blackhole, sans avoir le rtroanalyser. Rcemment, Blackhole n'tait que 8me du classement des malwares les plus rpandus. Avec l'arrestation de son auteur prsum, M. Paunch,36 il est probable qu'il perde encore plus de places. Notons que cette arrestation a men l'augmentation immdiate des prix de Neutrino, l'un de ses concurrents.37
Kits d'exploits : Blackhole la traine derrire des modles plus volus Blackhole, qui dominait le monde en 2012, a t dpass par de nouveaux kits tels que Neutrino et Redkit en 2013. Neutrino Kit inconnu Redkit 24% 21% 19% SweetOrange Styx Glazunov/Sibhost 11% 10% 5% Nuclear Blackhole/Cool Autres 4% 3% 3%
NB : les pourcentages sont arrondis lunit suprieure. Source: SophosLabs
15

En savoir plus
Preventing website compromises
L'avnement de Redkit Tandis que Blackhole cible les failles de Java, de PDF et de Flash, une multitude de nouveaux kits se concentrent uniquement sur Java. C'est le cas de Redkit, qui cible les sites Web lgitimes et qui tait par ailleurs l'origine du piratage du site de la NBC en fvrier 2013,38 et de la distribution de spam suite aux attentats du marathon de Boston. En juillet 2013, il se trouvait en tte des kits les plus utiliss, constituant 42% des dtections ce mois-l. Tout comme les tlchargements passifs traditionnels, Redkit roriente les utilisateurs vers un site d'exploit. L'utilisateur passe tout d'abord par un autre serveur, lgitime mais pirat. Puis il est dirig vers une page d'accueil .htm ou .html pirate contenant un chier Java JAR malveillant (format galement utilis pour distribuer les applets Java).
La victime prsume que le contenu malveillant provient du serveur Web pirat utilis dans la deuxime tape de redirection, mais il est en fait stock ailleurs pour viter d'tre dtect. En effet, les serveurs Web excutent un utilitaire PHP reli une commande Redkit distante et un serveur de contrle. L'utilitaire met jour la liste des sites infects toutes les heures, rorienteles victimes vers les bons sites et veille ce que le contenu malveillant le plus rcent soit livr depuis sa source relle.39
Charges virales des kits d'exploits, juin 2013 : les kits d'exploits peuvent distribuer pratiquement n'importe quoi. Voici les charges les plus courantes Les kits d'exploits ont pour but de distribuer une multitude de charges virales: partir de juin 2013, les ransomwares et le botnet ZeroAccess taient les plus courants. Ransomware ZeroAccess Fareit Moure Shylock Zbot 29% 24% 7% 7% 5% 4% Karagany FakeAV Simda Dofoil Medfos Redyms 4% 4% 2% 2% 2% 2% Tobfy Tranwos Andromeda Autre 1% 1% 1% 5%
NB : les pourcentages sont arrondis lunit suprieure. Source: SophosLabs
16
Redkit agit en tant que botnet pour contrler les serveurs Web qui interagissent avec plusieurs milliers d'utilisateurs. Comme ces serveurs tournent 24h/24 et 7j/7 et touchent autant d'utilisateurs, ils sont trs prcieux pour ceux qui souhaitent livrer des attaques par DDoS ou distribuer des volumes importants de malwares.
Mais Redkit n'est pas le seul exploit rcent qui cible les serveurs Web. Le kit Glazunov a t dtect chez des hbergeurs partout dans le monde. Le tableau en page 15 montre que celui-ci constituait 5,47% de toutes les dtections de kits d'exploit pendant le troisime trimestre 2013. Il est connu pour la distribution de ransomwares dangereux. Deux kits mergents, Sibhost et Flimkit, sont tellement similaires qu'ils proviennent probablement de la mme source.
Propagation mondiale de Zbot En 2013, la charge virale du kit d'exploit Zbot s'est rpandue aux Etats-Unis, en Europe et en Australie, constituant 31%des dtectionsamricaines, 23%des dtectionsen Grande-Bretagne,et 12%des dtectionsitaliennes. Systmes d'extrmit Etats-Unis Royaume-Uni Italie Allemagne Australie France Thailande Canada Pays-Bas Singapour Autres
Source: SophosLabs
2,322 1,749 884 693 365 188 156 144 135 84 795
Conseils pratiques pour protger votre serveur Web et vos clients

Adoptez une protection multi-niveaux. Associez une solution de dtection des malwares jour avec un ltrage Web et une solution de dtection en cours d'excution et prvention des intrusions au niveau des systmes. Installez rapidement les correctifs. Bien que l'on entende surtout parler des attaques du jour zro (zero-day), la grande majorit des attaques protent de vulnrabilits anciennes dont les correctifs n'ont pas t installs par l'utilisateur.
Limitez ou supprimez Java sur le client. En 2013, de nombreux auteurs de botnets ou d'exploits se sont loigns de Flash et PDF pour se concentrer sur Java, qui possde un plus grand nombre de vulnrabilits. Dterminez donc si vous avez rellement besoin d'avoir Java sur vos clients. Rduisez la surface d'attaque en vitant ou en supprimant les plug-ins superus, comme par exemple les plugins WordPress que vous n'utilisez pas. Protgez vos identiants de connexion. Utilisez des mots de passe uniques, et assurez-vous d'avoir chang tous les mots de passe administrateur par dfaut.
17
Menaces ciblant les comptes nanciers

Nous rencontrons de plus en plus d'attaques persistantes et cibles, pour la plupart visant les comptes nanciers.
Bien qu'ils ne soient pas en mesure de quantier la hausse, les SophosLabs constatent de plus en plus d'attaques visant des entreprises et des institutions spciques; certaines d'entre elles n'taient pas jusqu'alors considres risque. Ces attaques cherchent plus particulirement pirater des comptes nanciers, ce qui explique pourquoi les dtourneurs de fonds sont intresss par les mthodes utilises par les menaces avances persistantes (APT). Plugx, Blame et Simbot : prenez garde aux apparences trompeuses Certaines attaques cibles tentent de se faire passer pour des applications lgitimes. Nous voyons notamment des attaques dangereuses qui drobent les certicats et qui chargent des contenus malveillants l'aide des composants sains du systme d'exploitation Windows ou d'diteurs tiers. Le code malveillant est ensuite excut par un processus able, ce qui trompe le pare-feu en lui faisant penser que le trac sortant est lgitime. Gabor Szappanos, chercheur principal Sophos, explique que ces attaques cibles parviennent rester indtectes pendant des mois en minimisant l'impact sur le systme, en gardant tout sous forme chiffre et en s'alignant de prs sur des applications saines. Ces techniques laissent prsager qu' l'avenir, les attaques seront encore plus difciles dtecter.40
18

En savoir plus
APTs
Plugx, par exemple, repose sur l'usurpation d'applications sainessignes numriquement. Il exploite les vulnrabilits des DLL Windows, plaant la librairie malveillante ct de l'application. Quand l'application est excute, elle charge la DLL malveillante dans le chier courant plutt que dans la DLL saine situe dans le chier systme.41 Cette vulnrabilit est le rsultat d'une particularit de Windows. La modier causerait l'chec d'une multitude d'applications lgitimes.42 Il semblerait donc que nous devions composer avec cette vulnrabilit pendant encore longtemps. Un autre spcimen, Blame, cache son contenu malveillant au cur d'une DLL compose de plusieurs projets open source, dont l'encodeur MP3 LAME, qui sert de leurre en ajoutant sufsamment de code sain pour camouer le code malveillant.
Simbot, lui, est l'exemple classique du nouveau modle d'attaque dit "BYOT" (Bring your own Target, ou "apportez votre propre cible"). Il contient une application saine mais vulnrable, dmarre par une ligne de commande extrmement longue, menant l'excution d'un utilitaire malveillant qui dchiffre et charge la principale charge virale. Bien que l'exploitation d'applications vulnrables ne soit pas une tactique rcente, Simbot se diffrencie par le fait qu'il l'utilise chaque dmarrage sur des systmes dj infects pour garantir l'excution d'une application saine, et que le code malveillant soit uniquement excut via l'exploit. En utilisant sa propre application, Simbot ne dpend pas de l'application en cours d'installation sur le systme, et fonctionne mme si celle-ci a t corrige dans une version ultrieure. Cette approche permet Simbot de laisser trs peu de traces.
19
Windows : le danger croissant des systmes non corrigs

A partir d'avril 2014, il n'y aura plus de correctifs pour Windows XP et Ofce 2003. Les correctifs Windows sont nanmoins un problme de taille dans les domaines spcialiss tels que les terminaux de paiement et les quipements mdicaux.
On parle tellement d'Android et du Web actuellement que l'on oublie que plus d'un milliard d'ordinateurs fonctionnent toujours sous Windows. Bien que la plupart d'entre eux soient mis jour et corrigs par l'outil automatique Microsoft Update, il existe encore des failles inquitantes. Ce chapitre portera sur trois problmes particuliers : l'arrt annonc des correctifs pour Windows XP et Ofce 2003; les terminaux de paiement (POS) sans correctifs ou non corrigibles; et l'omniprsence de malwares sur les quipements mdicaux sans correctifs qui fonctionnent sous diverses versions de Windows. Selon NetMarrketShare, en septembre 2013, plus de 31% de tous les PC utilisaient encore Windows XP,43 la version populaire du systme d'exploitation lance en 2001. Microsoft a publi de nombreux communiqus informant ses utilisateurs qu'il cesserait d'diter des mises jour de scurit partir du 8 avril 2014.44 Si vous, ou vos employs, excutez ce systme, prenez garde. Selon le Trustworthy Computing Director de Microsoft, certaines failles prsentes dans les nouvelles versions seront rtrocompatibles avec Windows XP. Ces vulnrabilits existeront toujours dans Windows XP mme lorsque Microsoft les aura corriges dans Windows Vista, Windows 7 ou Windows 8.45
20

En savoir plus
Cinq recommandations pour rduire les risques des menaces Web modernes Naked Security podcast: The End of XP
L'arrt des correctifs pour Windows XP affecte les points de vente et les appareils mdicaux A mesure que la vulnrabilit des systmes suscite de plus en plus d'inquitudes, l'attention se porte sur les autres catgories de priphriques qui excutent Windows. Certains de ces systmes excutent Windows XP ou des versions plus anciennes telles que Windows 2000. Mme les entreprises qui installent mticuleusement les correctifs ne pourront plus se protger. D'autres appareils excutent des versions plus rcentes de Windows, mais leurs propritaires ou fabricants ne fournissent pas de correctifs adquats. Les terminaux de paiement (POS) utilisent frquemment Windows pour grer toutes leurs transactions. Bien que la rglementation exige l'installation rapide des correctifs, certains appareils font l'objet de mises jour irrgulires, surtout dans les petits commerces qui ne bncient pas d'un support informatique sophistiqu.46 Bien des systmes de POS ont choisi Windows XP pour sa popularit et sa durabilit. Certains d'entre eux pourraient excuter une nouvelle version de Windows, mais selon l'expert en systmes de paiement Walter Conway, d'autres ont t conus spcialement pour Windows XP.47 Les risques sont donc biens rels. En dcembre 2012, Visa informait les commerants de l'existence de Dexter, un malware pour Windows conu spcialement pour s'attaquer aux terminaux de paiement. Celui-ci dtournait les donnes stockes sur les bandes magntiques et les envoyait vers un serveur de C&C.48 De graves problmes de scurit sont aussi apparus dans les appareils mdicaux. En juin 2013, aprs avoir fait l'objet d'une grande polmique, la Food and Drug Administration amricaine rvlait que de nombreux appareils mdicaux avaient t soit infects soit dsactivs par des malwares. Ceux-ci avaient dans certains cas accder aux donnes des patients, aux systmes de surveillance et avaient mme atteint des appareils ports par les patients.49
Ces problmes sont causs par le fait que de nombreux fabricants n'ont pas distribu les mises jour de scurit et les correctifs ncessaires aux plates-formes concernes. Mais comme dans le cas des terminaux de paiement, Microsoft ne peut pas tre tenu responsable du manque de srieux des fabricants, qui devraient s'engager certier la compatibilit de leurs appareils avec les derniers correctifs. Mais ds l'arrt des mises jour de scurit pour Windows XP, mme les fabricants avec des procdures de certication ables n'auront plus de correctifs Windows XP tester. Quelle est l'tendue relle du problme ? Selon la MIT Technology Review publie n 2012, les quipements mdicaux deviennent truffs de malwares.50 Au Beth Israel Deaconess Medical Center Boston, 664 appareils mdicaux fonctionnent sous des versions anciennes de Windows, que les fabricants refusent de modier et que l'hpital n'a pas l'autorisation de changermme pour ajouter des logiciels antivirus Ils sont donc souvent touchs par les malwares, tel point qu'un ou deux appareils par semaine doivent tre dconnects pour nettoyage. Pour terminer, signalons que Windows XP ne sera pas le seul produit phare de Microsoft perdre ses mises jour le 8 avril 2014. Ce sera aussi le cas de Microsoft Ofce 2003. Toujours en utilisation courante, Ofce 2003 tait la dernire version supporter les anciens formats de documents Microsoft, qui ne sont toujours pas considrs ables mme aprs trois service packs. Malheureusement, les utilisateurs de Vista et Windows 7, des systmes pourtant frquemment mis jour, courent le risque de rester vulnrables pendant les annes venir tant donn que Ofce 2003 est inclus dans ces systmes d'exploitation.
21
Le spam se rinvente
Encore une anne de spam. Le risque de scurit ne disparat jamais.
Les cybercriminels continueront proter des courriels tant qu'ils existeront. Certains messages de spam sont juste indsirables. D'autres sont connects des arnaques nancires que la plupart d'entre nous avons appris ignorer. D'autres, en revanche, sont trs dangereux. Certaines des tactiques favorites des spammeurs semblent tre l pour durer, telles que le spam-image (par ex. les tentatives de vendre des fausses Rolex) et le spam li l'actualit (par ex. l'attaque terroriste du marathon de Boston en avril 2013). D'autres formes de spam semblent tre cycliques. Elles deviennent passes de mode puis reviennent quelques annes plus tard. Par exemple, en 2013, nous avons assist au retour des arnaques de "pump-and-dump". Le retour des arnaques de "pump-and-dump" Le "pump-and-dump" consiste dissminer des fausses informations concernant une action en bourse qui serait prtendument sur le point d'augmenter. Les criminels protent ensuite du courant acheteur ainsi cr pour vendre leurs titres (achets bas prix) et en rcolter les bnces. Il y a quelques annes, il y avait des jours o plus de 50% des messages de spam dtects pouvaient tre attribus au "pump-and-dump". Mais ces messages furent presque entirement radiqus par une campagne de rpression de la Commission boursire amricaine. Dbut 2013, ces messages ont pourtant commenc rapparatre par -coups, reprsentant de 1 7% du spam entre le 17 et le 31 janvier, de 5 15% entre le 16 et le 20 fvrier, et de 5 20% au mois de mars. Puis ils se sont calms jusqu' la n du mois de juin, avant de revenir de plus belle : entre juillet et septembre, les volumes taient d'environ 10-20% par jour, avec des pointes occasionnelles allant jusqu' 50%.
22

En savoir plus
Qui espionne votre messagerie Ne laissez pas les pertes de donnes anantir votre budget
Certains disent que l'on ne peut pas tre trop rond ou trop mince, et c'est vraisemblablement l'opinion des auteurs de la deuxime plus grande campagne de spam de l'anne : une arnaque portant sur un produit d'amaigrissement nomm "greencoffee". Ces messages imitent de vrais bulletins d'informations et citent des mdecins vus la tlvision tels que le Dr. Oz pour plus de crdibilit. Malheureusement, les utilisateurs qui se font piger sont dirigs vers des domaines qui ont pour seul but d'inciter l'action avant d'tre redirigs vers le site principal de l'arnaque. Serveurs distribus et spam "snowshoe" Les spameurs sont continuellement susceptibles de voir leur spambots et leurs serveurs de spams interrompus. Pour y remdier, ceux-ci cherchent activement couvrir leurs traces. En 2013, beaucoup de spammeurs ont utilis des techniques de "snowshoe", que nos ltres antispam sont heureusement capables de dtecter. Le terme "snowshoe" (en franais : raquette neige) fait allusion au fait que les spammeurs rpartissent leur charge sur une surface plus large pour l'empcher de s'enfoncer.
Les spammeurs qui emploient cette technique distribuent donc leurs messages vers de nombreux adresses IP, sites Web et sous-rseaux. Certains inondent une seule adresse IP avant de passer une autre adresse, souvent dans le mme secteur gographique. Ces stratgies tentent de contourner les systmes de dtection bass sur les gros volumes utiliss par les hbergeurs de messagerie, et protent des failles du CAN-SPAM Act de 2003, la loi anti-spam amricaine.51 Le spam snowshoe constitue une grande majorit des courriels indsirables dans les entreprises qui ne sont pas quipes d'un systme de ltrage able.
Juin 2013 : le spam en pice jointe, ou comment tlcharger une montagne d'ennuis En juin 2013, Fareit et Andromeda taient les deux principaux malwares distribus en pice jointe. Fareit (galement connu sous les noms Pony ou Ponik) tlcharge souvent Zeus en P2P, mais recueille galement des mots de passe stocks dans les logiciels de messagerie et les clients FTP. Andromeda tlcharge d'autres malwares tels que Zeus en P2P, des spambots et ZeroAccess, et parfois aussi ses propres modules an d'infecter les partages rseau et les priphriques portables. Fareit Andromeda Zbot Dofoil 52% 17% 12% 8% Donx Bublik Ransomware DnetBckdr 4% 3% 2% 1% DarkComet Banload 1% 1%
NB : les pourcentages sont arrondis lunit suprieure Source: SophosLabs
23
SophosLabs : comment garder une longueur d'avance sur les attaques les plus complexes de notre poque
A mesure que les attaques de malwares deviennent plus complexes et discrtes, les diteurs de scurit doivent faire preuve de plus d'intelligence, de exibilit et de rapidit. C'est prcisment ce que font les SophosLabs.
Autrefois, les diteurs de scurit dtectaient les malwares en identiant les signatures des logiciels malveillants. Les criminels pouvaient donc facilement viter la dtection en crant des attaques polymorphes qui gnraient des malwares uniques pour chaque ordinateur cibl. Certaines attaques polymorphes sont faciles viter. Le ltrage de la messagerie par exemple peut dans la majorit des cas bloquer les attaques distribues en pice jointe. Mais aujourd'hui, les attaques les plus dangereuses sont composes d'une multitude d'lments complexes rpartis sur l'intgralit du Web. Et comme ce rapport l'explique, les criminels adoptent dsormais des techniques puissantes pour rsister la dtection. La meilleure solution est de les contrer avec une protection multi-niveaux. Nous investissons beaucoup d'efforts dans la dtection et le blocage des sites qui hbergent des kits d'exploits et du contenu malveillant. Nous avons construit diffrents niveaux de dtection destins dtecter des composants spciques des kits d'exploits, tels que les redirections de JavaScript camou, les Java JARs pirats et les documents infects. Bien qu'aucun niveau ne puisse offrir une protection intgrale lui seul, ensemble, ils sont trs efcaces.
24

En savoir plus
Les SophosLabs
Nous dveloppons galement des protections encore plus robustes, bases entre autres sur la dtection selon le contexte, qui analyse simultanment les informations sur les chiers en cours de tlchargement et les sites d'o ils proviennent. Pris sparment, un chier ou une source ne sufsent pas diagnostiquer une menace. En revanche, l'association des deux informations peuvent rvler des comportements subtils associs des menaces connues, ce qui active notre logiciel sans risquer d'occasionner de faux positifs. Un dernier niveau de protection, la dtection en cours d'excution, couvre les rares ventualits o le malware russirait djouer les autres dfenses. Nous guettons les signes d'un malware en cours d'excution. Nous recherchons les comportements suspects des programmes. Nous comparons ces informations avec les rsultats d'analyses prcdentes du chier excutable en question. Par exemple, un chier qui avait veill de lgers soupons au tlchargement pourrait se comporter de manire encore plus suspecte par la suite. Ceci entranerait son blocage. Les nouvelles versions de notre appliance de scurit rseau utilisent les mmes techniques pour bloquer les priphriques qui montrent des signes d'infection, tels que les appareils agissant comme s'ils taient sous le contrle d'un botnet. Sophos UTM 9.2 inspecte les paquets rseau, identie les machines qui tentent de se connecter des domaines illicites, et reconnat les chiers de conguration malveillants transmis via HTTP depuis les botnets vers les machines infectes.
Comme les serveurs de C&C et les malwares voluent vitesse fulgurante, les produits Sophos distribuent des mises jour instantanes "in-the-cloud". Les SophosLabs traitent d'importantes quantits de donnes pour garder une longueur d'avance sur les cybercriminels. Nous recueillons tous les jours des milliards de donnes sur des ordinateurs aux quatre coins du globe. Notre infrastructure ultra-sophistique nous permet d'analyser ces donnes et d'identier les menaces mergentes dans les dlais les plus brefs, en corrlant toutes les donnes qui nous parviennent des machines et des serveurs protgs. Elle nous permet galement de dvelopper une meilleure protection en recueillant les chiers binaires, les URL et la tlmtrie. Pour ceux d'entre vous qui ont des connaissances techniques, notre infrastructure est base sur Hadoop. Ce logiciel open source s'inspire d'ides lances par Google et Yahoo, idales pour les entreprises telles que Facebook, Twitter, eBay, et Sophos, qui ont d'importantes quantits de donnes analyser rapidement.
25
Tendances suivre en 2014

Par les SophosLabs Entre des avances technologiques considrables et la polmique qui a entour la NSA, l'anne 2013 a t haute en vnements pour les observateurs de tendances. L'analyse de tous ces vnements nous a permis d'en extraire les tendances de l'anne venir.
Attaques sur les donnes professionnelles et prives dans le Cloud Les services dans le Cloud, o de plus en plus d'entreprises grent dsormais leurs donnes client, leurs projets internes et leurs biens nanciers, jouissent d'une popularit croissante. Nous nous attendons donc voir merger une multitude d'attaques contre les ordinateurs, les priphriques mobiles et les identiants de connexion, visant accder aux Clouds d'entreprise et privs. Bien que l'on ne puisse pas prdire de manire absolue la forme que prendront ces attaques, il est fort probable qu'il s'agisse entre autres de ransomwares qui prendront en otage les donnes et les documents locaux hbergs dans le Cloud. Ces attaques ne chiffreront pas forcment les donnes mais pourraient prendre la forme de chantage, en menaant l'utilisateur de divulguer ses donnes condentielles s'il ne paie pas. Il sera plus important que jamais d'utiliser un mot de passe solide et de bonnes politiques concernant l'accs aux donnes stockes dans le Cloud. Votre scurit repose entirement sur votre maillon le plus faible, soit vos machines Windows ou l'attitude de vos employs envers la scurit. Techniques de menaces persistantes avances au service du dtournement de fonds Nous nous attendons voir les groupes de dtourneurs de fonds amliorer leurs techniques en s'inspirant du succs des menaces persistantes avances dans le domaine de l'espionnage industriel. Ces techniques sont dj utilises au service de la distribution de malwares.
26

En savoir plus
Ingnierie sociale
Plus les diteurs de scurit progressent dans les niveaux de protection, la scurit des systmes d'exploitation et la sensibilisation des utilisateurs, plus les cybercriminels sont forcs de rentabiliser au maximum chacune de leurs oprations. Il est donc possible que les attaques futures soient composes de plusieurs lments et mthodes de distribution, conues pour cibler un public plus restreint. Les malwares adopteront en tous cas de plus en plus de particularits des APT en 2014. Les malwares pour Android, de plus en plus complexes, chercheront de nouvelles cibles En 2013, nous avons assist la croissance exponentielle des malwares pour Android, non seulement en termes de nombre de familles diffrentes et d'chantillons, mais aussi en termes de nombre d'appareils frapps sur l'ensemble du globe. Bien que les nouvelles fonctionnalits de scurit d'Android fassent progressivement rduire les taux d'infection, il faudra longtemps avant qu'elles ne soient adoptes unanimement, laissant de nombreux utilisateurs la merci des attaques d'ingnierie sociale. Les cybercriminels continueront explorer de nouvelles voies pour montiser les malwares pour Android. Bien que leurs options soient plus limites sur cette plate-forme que sur Windows, les appareils mobiles offrent l'avantage non ngligeable de pouvoir servir de base de lancement pour des attaques visant les rseaux sociaux et les plates-formes dans le Cloud. Pour rduire les risques d'infection, imposez donc une politique de BYOD ("bring your own device" ou "apportez votre propre priphrique") visant bloquer le chargement d'applications mobiles depuis des sources inconnues et imposer une protection antimalware. Les malwares se diversient et se spcialisent Les diffrents types de malwares caractre nancier retent la diversit des secteurs gographiques et des rgions conomiques d'o ils proviennent. Nous distinguons des techniques d'ingnierie sociale, des options de montisation des malwares et des objectifs diffrents selon les pays. Les malwares adapts des publics diffrents (par exemple le grand public et les entreprises) continueront crotre en 2014. Nous verrons vraisemblablement apparatre des attaques conues spcialement pour s'attaquer diffrents degrs de dfense ou de valeur cibles.
Les donnes personnelles en danger sur les applications mobiles et les rseaux sociaux La scurit des mobiles en gnral continuera faire couler de l'encre en 2014. L'adoption croissante de nouvelles applications de communication personnelles et professionnelles largit la surface d'attaque pour les arnaques bases sur l'ingnierie sociale et les tentatives d'exltration de donnes. Votre carnet d'adresses et votre graphique de connexions sociales sont prcieux aux yeux des cybercriminels en tous genres. Veillez donc les protger comme il se doit, grce au contrle des applications mobiles et Web pour les professionnels. Les cyberdfenses en ligne de mire Dans la lutte interminable entre cybercriminels et diteurs de scurit, nous nous attendons voir apparatre de nouvelles armes destines tester les derniers mcanismes de cyberdfense. Les services de rputation, les bases de donnes pour la scurit du Cloud, les listes blanches et les couches de sandboxing feront tous l'objet de nouvelles attaques. Il y aura plus de malwares comportant des signatures voles; de tentatives de compromettre les donnes de scurit, les analyses tlmtriques, la dtection en environnement sandbox et les techniques de contournement; et une utilisation plus rpandue d'outils lgitimes des ns malveillantes. Des malwares 64-bits Avec l'adoption croissante des systmes d'exploitation 64bits, nous nous attendons rencontrer plus de malwares destins exclusivement ces systmes.
27
Les kits d'exploits restent la principale menace pour Windows Bien que les rcentes amliorations du systme d'exploitation Windows placent la barre un peu plus haut pour les dveloppeurs d'exploits, Microsoft n'a pas encore gagn la guerre. Avec l'arrt de ses mises jour de scurit, Windows XP est en passe de devenir une cible de choix pour les cybercriminels. Quelles sont les chances que Windows 7 domine le panorama des systmes d'exploitation pendant aussi longtemps ? Combien de temps faudra-t-il pour que la majorit des machines passent des versions plus rcentes de Windows, dotes de meilleures fonctionnalits de scurit ? Bien que la distribution de menaces reposant sur une interaction avec l'utilisateur (ingnierie sociale) continue tre un vecteur important d'infection, les auteurs de malwares devront afner leurs techniques pour inciter leurs victimes excuter la charge malveillante, car les utilisateurs sont devenus plus habiles dans l'art de distinguer entre le malveillant et le bnin. Les criminels devront donc crer des leurres plus cibls et plus convaincants. Le matriel, l'infrastructure et les logiciels compromis la source Plusieurs vnements cette anne (comme les rvlations concernant l'espionnage men par le gouvernement et certaines entreprises, ainsi que l'existence de portes drobes) ont prouv que la vaste infrastructure sur laquelle nous oprons tous est non seulement susceptible d'tre compromise, mais quelle lest dj actuellement. Il sera donc essentiel de rvaluer les technologies et les entits auxquelles nous conons nos donnes.
Les dcouvertes de 2013 ne sont probablement que le sommet de l'iceberg, et il est possible que d'autres rvlations de ce genre fassent l'actualit en 2014. La plupart des entreprises n'ont pas la possibilit ou les ressources de rechercher des portes drobes : suivez donc de prs le travail des chercheurs en scurit et la presse spcialise pour plus d'informations. Le piratage se gnralise Nous utilisons de nos jours de plus en plus d'appareils diffrents, tous susceptibles de contenir des donnes professionnelles condentielles. Mais les technologies de scurit conues pour ces appareils ne sont pas aussi bien dveloppes que celles de l'environnement PC. Pour ceux qui souhaitent nous nuire, les priphriques intgrs dans les maisons, les bureaux et mme les villes, sont des cibles intressantes. Et les nouvelles monnaies et moyens de paiement lectroniques sont tout aussi attrayants que les cartes de crdit. Nous ne nous attendons pas des attaques importantes contre "l'Internet des objets" en 2014, mais nous prvoyons une augmentation des vulnrabilits et des exploits de type "preuve-de-concept".
28
En conclusion
Les crateurs de malwares, de kits d'exploits et de botnets ont fait preuve de plus d'efcacit et d'agressivit en 2013. Ils ont dvelopp de nouvelles formes d'attaques et de techniques de camouage, ont identi de nouvelles cibles et ont remis d'anciennes approches au got du jour.
Ces nouvelles attaques vont exiger plus d'intelligence de la part de tous pour s'en dfendre. Sophos travaille sans relche pour concevoir des mthodes de dtection plus sophistiques, livrant des mises jour en temps rel depuis le Cloud et permettant de protger tous les priphriques nouvelle gnration que vous, ou vos utilisateurs, choisissez d'adopter. Que vous soyez un professionnel de l'informatique, un entrepreneur ou un utilisateur individuel, il y a de grandes chances que vos connaissances en matire de scurit s'amliorent constamment. Veillez protger tous vos systmes quelle que soit la plate-forme utilise. Rduisez la surface d'attaque en supprimant les plates-formes telles que Java lorsque vous ne les utilisez pas. Installez systmatiquement tous les correctifs, car la plupart des attaques ciblent les anciennes vulnrabilits. Ne ngligez jamais le b.a.-ba de la scurit : utilisez des mots de passe solides, apprenez vos utilisateurs comment djouer les piges de l'ingnierie sociale, etc. La lutte contre les cybercriminels n'est pas prte de s'arrter, mais si vous restez vigilent, appliquez les meilleures pratiques en matire de scurit, faites un usage intelligent des technologies et vous armez du meilleur soutien, vous russirez protger votre entreprise. Chez Sophos, nous avons tout ce qu'il faut pour vous aider et restons votre entire disposition.
29
Sources (en anglais)

1. ZeuS-P2P Monitoring and Analysis, v2013-06, NASK/CERT Polska, http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf 2. An Analysis of the Zeus Peer-to-Peer Protocol, Dennis Andriesse and Herbert Bos, VU University Amsterdam, The Netherlands, Technical Report IR-CS-74, rev. May 8, 2013, http://www.few.vu.nl/~da.andriesse/papers/zeus-tech-report-2013.pdf 3. Symantec Uses Vulnerability to Take Out Part of the ZeroAccess Botnet, CSO, http://www.csoonline.com/article/740626/symantecuses-vulnerability-to-take-out-part-of-the-zeroaccess-botnet 4. CryptoLocker Ransomware - See How It Works, Learn about Prevention, Cleanup and Recovery, Sophos Naked Security, http://nakedsecurity. sophos.com/2013/10/18/cryptolocker-ransomware-see-how-itworks-learn-about-prevention-cleanup-and-recovery/ 5. Destructive Malware CryptoLocker on the Loose - Heres What to Do, Sophos Naked Security, 12 October 2013, http://nakedsecurity.sophos. com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/ 6. With Carberp Source Codes Release, Security Pros Expect the Worst, CSO Online, 27 June 2013, http://www.csoonline.com/article/735569/ with-carberp-source-code-s-release-security-pros-expect-the-worst 7. Carberp: The Never Ending Story, We Live Security, 25 March 2013, http:// www.welivesecurity.com/2013/03/25/carberp-the-never-ending-story/ 8. Shylock Financial Malware Back and Targeting Two Dozen Major Banks, ThreatPost, 18 September 2013, http://threatpost.com/shylocknancial-malware-back-and-targeting-two-dozen-major-banks 9. Cyber-thieves Blamed for Leap in Tor Dark Net Use, BBC News, 6 September 2013, http://www.bbc.co.uk/news/technology-23984814 10. Bitcoincharts.com, http://bitcoincharts.com/charts/ mtgoxUSD#rg60ztgSzm1g10zm2g25zv 11. Back Channels and Bitcoins: ZeroAccess Secret C&C Communications, James Wyke, Senior Threat Researcher, SophosLabs, Virus Bulletin, October 2013, http:// www.sophos.com/en-us/medialibrary/PDFs/technical papers/Wyke-VB2013.pdf 12. The Delicate War Between Bitcoin Miners and Botnet Miners, Red Orbit, 28 March 2013, http://www.redorbit.com/news/technology/1112812519/ bitcoin-miners-versus-botnet-miners-032813/ 13. Botcoin: Bitcoin Mining by Botnet, Krebs on Security, 18 July 2013, http:// krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet/ 14. GinMaster: A Case Study in Android Malware, Rowland Yu, SophosLabs Australia, Virus Bulletin, October 2013, http://www. virusbtn.com/pdf/conference_slides/2013/Yu-VB2013.pdf 15. Billion Dollar Botnets, Cathal Mullaney, Symantec, presented at Virus Bulletin, October 2013, http://www.virusbtn.com/conference/vb2013/abstracts/Mullaney.xml 16. Hey Android, Are You Frightened of FakeAV plus Ransomware? Rowland Yu, SophosLabs, October 2013 17. Revealed! The Top Five Android Malware Detected in the Wild, Graham Cluley, Sophos Naked Security, 14 June 2012, http://nakedsecurity. sophos.com/2012/06/14/top-ve-android-malware/ 18.Qadars: A New Banking Malware With a Fraudulent Mobile Application Component, 2 October 2013, http://www.lexsi-leblog.com/cert-en/qadars-newbanking-malware-with-fraudulent-mobile-application-component.html 19. Google Play Developer Program Policies, https://play.google. com/about/developer-content-policy.html 20. Graphic inspired by The Scrap Value of a Hacked PC, Revisited, Krebs On Security, http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/ 21. CVE Details: WordPress Vulnerabilities, http://www.cvedetails. com/vulnerability-list/vendor_id-2337/product_id-4096/ 22. Hacker Publishes Alleged Zero-Day Exploit for Plesk, Parity News, 6 June 2013, http://www.paritynews.com/2013/06/06/1112/ hacker-publishes-alleged-zero-day-exploit-for-plesk/ 23. Exclusive: Apple, Macs Hit by Hackers Who Targeted Facebook, Reuters, 19 February 2013, http://www.reuters.com/article/2013/02/19/ us-apple-hackers-idUSBRE91I10920130219 24. Microsoft Also Victim of Recent Watering Hole Attack, Help Net Security, 25 February 2013, https://www.net-security.org/secworld.php?id=14482 25. Mac Backdoor Trojan Embedded Inside Boobytrapped Word Documents, Sophos Naked Security, 30 March 2012, http://nakedsecurity. sophos.com/2012/03/30/mac-malware-backdoor/ 26. Chinese Uyghur Dissidents Targeted by Mac Malware, Ben Weitzenkorn, TechNewsDaily, 15 February 2013, http://www.technewsdaily.com/16937-china-uyghur-attacks.html 27. New Mac Trojan Discovered Related to Syria, Intego, 17 September 2013, http:// www.intego.com/mac-security-blog/new-mac-trojan-discovered-related-to-syria/ 28. Mac Spyware: OSX/KitM (Kumar in the Mac), F-Secure, 22 May 2013, http://www.f-secure.com/weblog/archives/00002558.html 29. New Signed Malware Called Janicab, http://www.thesafemac. com/new-signed-malware-called-janicab/ 30. OSX/FkCodec-A, Detailed Analysis, Sophos, 11 June 2013, https:// secure2.sophos.com/en-us/threat-center/threat-analyses/virusesand-spyware/OSX~FkCodec-A/detailed-analysis.aspx 31. FBI Ransomware Now Targeting Apples Mac OS X Users, Malwarebytes, 15 July 2013, http://blog.malwarebytes.org/fraud-scam/2013/07/ fbi-ransomware-now-targeting-apples-mac-os-x-users/ 32. Apple Gets Aggressive - Latest OS X Java Security Update Rips Out Browser Support, Paul Ducklin, Sophos Naked Security, 18 October 2012, http://nakedsecurity.sophos.com/2012/10/18/apple-gets-aggressivelatest-os-x-java-security-update-rips-out-browser-support/ 33. Apple Ships OS X 10.8.5 Security Update - Fixes sudo Bug At Last, Paul Ducklin, Sophos Naked Security, 13 September 2013, http://nakedsecurity.sophos. com/2013/09/13/apple-ships-os-x-10-8-5-security-update-xes-sudo-bug-at-last/ 34. Rampant Apache Website Attack Hits Visitors With Highly Malicious Software, Ars Technica, 3 July 2013, http://arstechnica.com/ security/2013/07/darkleech-infects-40k-apache-site-addresses/ 35. Rogue Apache Modules Pushing Iframe Injections Which Drive Trafc to Blackhole Exploit Kit, Fraser Howard, Sophos Naked Security, 5 March 2013, http://nakedsecurity. sophos.com/2013/03/05/rogue-apache-modules-iframe-blackhole-exploit-kit/ 36. Blackhole Malware Toolkit Creator Paunch Suspect Arrested, ZDNet, 9 October 2013, http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/ 37. Blackhole Exploit Kit Author Arrested in Russia, ComputerWorld, 8 October 2013, http://www.computerworld.com/s/article/9243061/ Blackhole_exploit_kit_author_arrested_in_Russia 38. Lifting the Lid on the Redkit Exploit Kit, Fraser Howard, Sophos Naked Security, 3 May 2013, http://nakedsecurity.sophos.com/2013/05/03/ lifting-the-lid-on-the-redkit-exploit-kit-part-1/ 39. The Four Seasons of Glazunov: Digging Further into Sibhost and Flimkit, Fraser Howard, Sophos Naked Security, 2 July 2013, http://nakedsecurity.sophos.com/2013/07/02/ the-four-seasons-of-glazunov-digging-further-into-sibhost-and-imkit/ 40. Hide and Seek - How Targeted Attacks Hide Behind Clean Applications, Gabor Szappanos, SophosLabs Hungary, October 2013, Virus Bulletin, http:// www.virusbtn.com/conference/vb2013/abstracts/LM1-Szappanos.xml 41. Plugx Malware Factory Celebrates CVE-2012-0158 Anniversary with Version 6.0, Gabor Szappanos, Principal Researcher, SophosLabs, May 2013, http://sophosnews.les. wordpress.com/2013/05/sophosszappanosplugxmalwarefactoryversion6-rev2.pdf 42. The Windows DLL Loading Security Hole, Dr Dobbs Journal, 9 September 2010, http:// www.drdobbs.com/windows/the-windows-dll-loading-security-hole/227400009 43. NetMarketShare, http://www.netmarketshare.com/ 44. Windows XP SP3 and Ofce 2003 Support Ends April 8, 2014, Microsoft, http://www.microsoft.com/en-us/windows/endofsupport.aspx 45. The Risk of Running Windows XP After Support Ends, Tim Rains, Microsoft Security Blog, April 2014, http://blogs.technet.com/b/security/ archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx 46. Windows XP End of Life Affects PCI Compliance, Credit Card Processing Space, 6 March 2013, http://www.creditcardprocessingspace. com/windows-xp-end-of-life-affects-pci-compliance/ 47. Windows XP End-of-Life Could Cripple PCI Compliance, Walter Conway, 6 February 2013, Storefront Backtalk, http://storefrontbacktalk.com/ securityfraud/windows-xp-end-of-life-could-cripple-pci-compliance/ 48. Dexter Malware Targeting Point-of-Sale (POS) Systems, Visa Data Security Alert, December 2012, http://usa.visa.com/download/merchants/alert-dexter-122012.pdf 49. FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks, U.S. Food and Drug Administration, 13 June 2013, http://www. fda.gov/medicaldevices/safety/alertsandnotices/ucm356423.htm 50. Computer Viruses Are Rampant on Medical Devices in Hospitals, MIT Technology Review, 17 October 2012, http://m.technologyreview.com/computing/41511/ 51. Following the Tracks: Understanding Snowshoe Spam, Brett Cove, SophosLabs, http://sophosnews.les.wordpress.com/2011/10/vb2011-snowshoe2.pdf
30
Copyright 2013. Sophos Ltd. Tous droits rservs. Sophos et Sophos Antivirus sont des marques dposes de Sophos Ltd.et Sophos Group. Tous les autres noms de produits et de socits mentionns sont des marques ou des marques dposes appartenant leurs propritaires respectifs. Les donnes contenues dans ce rapport sur la scurit sont titre d'information uniquement. Elles sont fournies par Sophos, les SophosLabs et Naked Security.sophos.com. Nous nous efforons de maintenir l'exactitude de ces informations au moment de leur publication, mais ne faisons aucune dclaration et ne donnons aucune garantie, quelle qu'elle soit, expresse ou implicite, quant l'intgralit, l'exactitude, la abilit, la pertinence ou la disponibilit des sites Web ou des informations, produits, services ou graphiques associs contenus dans ce document. La conance que vous accorderez ces informations est donc votre entire responsabilit. quipe commerciale France: Tl. : 01 34 34 80 00 Courriel : sales@sophos.fr
Oxford (Royaume-Uni) | Boston (tats-Unis) Copyright 2013. Sophos Ltd. Tous droits rservs. Immatricule en Angleterre et au Pays de Galles No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, United Kingdom. Tous les autres noms de produits et de socits mentionns sont des marques ou des marques dposes appartenant leurs propritaires respectifs. 1091-11.13DD.fr.simple

Sophos Security Threat Report 2014

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sophos Security Threat Report 2014

Transféré par

Droits d'auteur :

Formats disponibles

Rapport Sophos 2014 sur les menaces la scurit

Des malwares plus dangereux, plus discrets et plus efcaces

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Gerhard Eschelbeck Directeur technique, Sophos

Rapport Sophos 2014 sur les menaces la scurit

Introduction : les malwares voluent en 2013

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Les botnets s'tendent et deviennent plus furtifs

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Malwares Android : transformation et gain d'efcacit

Rapport Sophos 2014 sur les menaces la scurit

NB : les pourcentages sont arrondis la hausse Source: SophosLabs

Rapport Sophos 2014 sur les menaces la scurit

Audio Appareil photo Journal d'appels Situation gographique Messages SMS

Financier Vol de donnes 113

Lancement d'attaques par DDoS Fraude au clic Envoi de SMS surtaxs

Rapport Sophos 2014 sur les menaces la scurit

Linux : une technologie capitale qui attire les criminels

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Mac OS X : une anne marque par une multitude de petites attaques

Rapport Sophos 2014 sur les menaces la scurit

4 conseils pratiques pour protger votre Mac

Rapport Sophos 2014 sur les menaces la scurit

Malwares de type Web : plus sophistiqus, varis et camous

Rapport Sophos 2014 sur les menaces la scurit

NB : les pourcentages sont arrondis lunit suprieure. Source: SophosLabs

Rapport Sophos 2014 sur les menaces la scurit

NB : les pourcentages sont arrondis lunit suprieure. Source: SophosLabs

Rapport Sophos 2014 sur les menaces la scurit

Conseils pratiques pour protger votre serveur Web et vos clients

Rapport Sophos 2014 sur les menaces la scurit

Menaces ciblant les comptes nanciers

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Windows : le danger croissant des systmes non corrigs

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

NB : les pourcentages sont arrondis lunit suprieure Source: SophosLabs

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Tendances suivre en 2014

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Rapport Sophos 2014 sur les menaces la scurit

Sources (en anglais)

Vous aimerez peut-être aussi