Cyber Watch Report – Février 2019 : Comptes à vendre et ransomware

Co-écrit par Guillaume Grabowski et Rémy de Montbel, avec l’aide de Florian Boudot et Charles Le Reun.

La mise à l’arrêt d’un service de mail, une attaque ransomware et la vente sur le darknet de comptes volés : une belle actualité en ce mois de février !

Mise à l’arrêt forcé de VFEmail

VFEmail est un service qui fournit des adresses de messagerie électronique anonyme, gratuitement et contre paiement. Le 11 février dernier, l’entreprise a subi une attaque informatique d’une ampleur considérable qui pourrait remettre en cause l’existence de la plateforme.

L’entreprise a détaillé sur Twitter la découverte de l’attaque en expliquant que tous les systèmes exposés sur Internet, protégés par différents systèmes d’authentifications, aux Etats-Unis et Pays-Bas ont été impactés et mis hors service. Ensuite, en tentant de repérer les attaquants sur leurs serveurs, ces derniers ont été trouvés en pleine opération d’effacement des données des serveurs de back-up du service d’e-mail. Une adresse IP a pu être identifiée renvoyant à un fournisseur de services d’hébergement à Sofia en Bulgarie, sûrement un simple serveur de rebond pour brouiller les pistes. Plus tard, VFEmail a annoncé sur Twitter que les hackers avaient pu effacer chaque disque sur tous les serveurs avec pour conséquence la perte de toutes les machines virtuelles et serveurs de fichiers.

Le mode opératoire pose question, car aucun ransomware n’a été utilisé comme dans d’autres cas d’attaques d’entreprises où l’objectif des hackers était de soutirer de l’argent à leurs victimes en échange de la récupération de leurs données. L’objectif probable de cette attaque était de supprimer intégralement les données du service et de rendre complètement inopérant leur infrastructure. Pour le moment, aucun attaquant n’a pu être identifié et la seule piste semble être cette adresse IP localisée en Bulgarie.

Interrogé par BleepingComputer sur les causes et conséquences de cette attaque, le propriétaire du service a indiqué que des experts, dissidents politiques, avocats privés et des personnes aux activités illégales utilisaient ce service, mais il n’avait aucune certitude sur les commanditaires de cette attaque ni sur leurs motivations.

Plus récemment, le propriétaire du service a indiqué par l’intermédiaire d’un tweet, que malgré la perte des données entre Août 2016 et Février 2019, le service ne serait pas arrêté, et qu’il opérerait maintenant exclusivement depuis les Pays-Bas.

Ransomware chez Altran

Altran a été victime d’une attaque par un virus rançongiciel* le 24 janvier dernier dans un grand nombre de pays européens où Altran est présent.

Par communiqué, Altran a fait savoir que son réseau informatique et ses applications avaient été déconnectés pour éviter la propagation et ainsi protéger ses clients, employés et partenaires. L’ANSSI a été appelé à la rescousse pour gérer la situation car quelques-uns des clients d’Altran sont des grands acteurs économiques. L’enquête menée n’a révélé aucun vol de données ou cas de propagation de l’incident à ses clients selon le service presse d’Altran.

Le logiciel rançonneur qui a infecté l’entreprise exploitait « un code inédit indétectable par les meilleurs pare-feux et mécanismes de défense informatique » a indiqué Altran qui ajoute que cela avait « nécessité la création d’un nouveau protocole de restauration spécifique par un fournisseur mondial de services ».

En enquêtant en ligne, le blog Zataz a découvert une adresse IP donnant accès à un espace numérique baptisé « Altran connexion » qui demandait un identifiant et mot de passe pour accéder à cette espace. Cependant, les moteurs de recherche fournissaient des dossiers accessibles sans avoir besoin d’utiliser des identifiants. Dans ceux-ci se trouvaient du code source, des mots de passe et une adresse Gmail. L’adresse IP utilisée dirige sur le nom de domaine ai-as-a-service.fr, hébergé chez OVH. Un domaine dont le propriétaire est « protégé », ouvert depuis mars 2018. Au vu de ces informations, il n’est pas possible de déterminer si cette page est une vraie page d’Altran ou si c’est une page de phishing très bien réalisée. L’ANSSI a été prévenue de l’existence de cette page.

Le 21 février, tous ses systèmes n’étaient pas encore entièrement fonctionnels mais Altran a indiqué le 28 février que l’incident était désormais résolu.

Ce type d’attaque pourrait se multiplier dans les années à venir, notamment celles visant directement ou indirectement des géants de l’industrie française.

Comptes à acheter !

Les informations de près de 620 millions de comptes de 16 plateformes en lignes différentes sont en vente actuellement sur Dream Market, marché noir en ligne et accessible uniquement sur le réseau Tor. Pour la modique somme de 20,000 $, vous pouvez obtenir une base de données contenant les informations de ces comptes. Cependant, les mots de passe étant hashés, il faudra d’abord les décoder avant de les utiliser.

Le fournisseur de ces données explique avoir exploité des vulnérabilités sur les sites web pour ensuite exécuter du code à distance et extraire les données des comptes utilisateurs. La plupart des vols de données ont eu lieu en 2018.

Contacté par The Registrer, le vendeur a décrit ses objectifs : rendre la vie plus facile aux hackers, en vendant les données d’accès aux comptes piratés, se faire de l’argent et mettre en lumière la sécurité informatique aux yeux des utilisateurs d’Internet. Il a révélé qu’une des listes de comptes avait déjà été achetée par au moins une personne.

Le vol de données, pouvant être exploitées par des organisations étatiques ou privées dans le but d’y trouver des informations utilisables et pertinentes, se révèle être un business juteux pour ceux qui en sont les instigateurs.

Les recommandations du mois :

  • Avoir un mot de passe unique pour chacun de ses comptes en ligne. Eviter aussi de reprendre la même base pour créer ses mots de passe de différents comptes
  • Mettre en place la double-authentification pour ses comptes quand cela est possible.
  • Afin de protéger vos données les plus sensibles, il peut être nécessaire d’effectuer des sauvegardes hors ligne, évitant ainsi leur perte en cas d’effacement des serveurs lors d’une attaque informatique par exemple…

 

*rançongiciel : un virus qui chiffre les documents du système informatique et exige une rançon pour que ces documents soient déchiffrés