Malware est une contraction de « malicious software ». Un logiciel malveillant est un logiciel intrusif conçu pour endommager et détruire des ordinateurs et des systèmes informatiques. Mais allons plus sur cette définition et découvrons dans cet article les différents logiciels malveillants contre lesquels les entreprises doivent impérativement se protéger.
Qu’est-ce qu’un malware ? Définition !
Un malware, abréviation de « logiciel malveillant », désigne tout logiciel intrusif développé par des cybercriminels (souvent appelés « hackers ») pour voler des données et endommager ou détruire des ordinateurs et des systèmes informatiques.
Les exemples de logiciels malveillants les plus courants sont les virus, les vers, les chevaux de Troie, les logiciels espions (spywares), les logiciels publicitaires et les ransomwares.
Comment puis-je protéger mon réseau contre les logiciels malveillants ?
En général, les entreprises se concentrent sur les outils de prévention pour mettre fin aux violations de données. En sécurisant le périmètre, les entreprises supposent qu’elles sont en sécurité.
Cependant, certains logiciels malveillants avancés finissent par s’introduire dans votre réseau informatique. Par conséquent, il est essentiel de déployer des technologies qui surveillent et détectent en permanence les logiciels malveillants qui ont échappé aux défenses du périmètre. Une protection efficace contre les malwares avancés nécessite plusieurs couches de protection ; ainsi qu’une visibilité et une intelligence de haut niveau du réseau.
Comment puis-je détecter les logiciels malveillants et y répondre ?
Les logiciels malveillants pénètrent inévitablement dans votre réseau. Vous devez disposer de défenses offrant une visibilité importante et une détection des brèches. Afin de supprimer les logiciels malveillants, vous devez être en mesure d’identifier rapidement les acteurs malveillants. Cela nécessite une analyse constante du réseau.
Une fois la menace identifiée, vous devez supprimer les malwares de votre réseau. Les produits antivirus d’aujourd’hui ne suffisent pas à protéger contre les cybermenaces avancées.
7 types de logiciels malveillants ou maliciels
Virus
Les virus sont un sous-groupe des logiciels malveillants. Un virus est un malware attaché à un document ou à un fichier qui prend en charge des macros pour exécuter son code et se propager d’hôte en hôte.
Une fois téléchargé, le virus reste en sommeil jusqu’à ce que le fichier soit ouvert et utilisé. Les virus sont conçus pour perturber la capacité de fonctionnement d’un système. Par conséquent, les virus peuvent causer d’importants problèmes de fonctionnement et des pertes de données.
Vers ou Worm
Les vers, ou worms en anglais, sont des logiciels malveillants qui se reproduisent rapidement. Ils se propagent vers n’importe quel matériel informatique du réseau.
Contrairement aux virus, les vers n’ont pas besoin de programmes hôtes pour se diffuser. Un ver infecte un appareil via un fichier téléchargé ou une connexion réseau avant de se multiplier et de se disperser à un rythme exponentiel. Comme les virus, les vers peuvent perturber gravement le fonctionnement d’un appareil et provoquer des pertes de données.
Virus troyen ou cheval de Troie
Les virus troyens ou chevaux de Troie sont déguisés en logiciels utiles. Mais une fois que l’utilisateur l’a téléchargé, le virus Trojan peut accéder à des données sensibles. Ensuite, il va les modifier, les bloquer ou les supprimer. Cela peut être extrêmement nuisible aux performances de l’appareil. Contrairement aux virus et aux vers normaux, les malwares de type virus de Troie ne sont pas conçus pour s’auto-répliquer.
Spyware
Les logiciels espions sont des logiciels malveillants qui s’exécutent secrètement sur un ordinateur et en rendent compte à un utilisateur distant.
Ainsi, plutôt que de simplement perturber le fonctionnement d’un appareil, les spywares ciblent les informations sensibles et peuvent accorder un accès à distance à des cybercriminels. Les logiciels espions sont souvent utilisés pour voler des informations financières ou personnelles. Un type spécifique de malware est le keylogger. Ce dernier enregistre vos frappes au clavier pour révéler des mots de passe et des informations personnelles.
Adware
Les adwares sont des logiciels malveillants utilisés pour collecter des données sur l’utilisation de votre ordinateur ; et ainsi vous proposer des publicités indésirables. Bien que les adwares ne soient pas toujours dangereux, dans certains cas, ils peuvent causer des problèmes à votre système. Des pop-ups qui apparaissent soudainement sont un signe révélateur d’infection par un malware
Ce type de malware peut rediriger votre navigateur vers des sites dangereux. Ils peuvent même contenir des chevaux de Troie et des logiciels espions. De plus, des niveaux significatifs de logiciels publicitaires peuvent ralentir votre système de façon notable. Comme tous les adwares ne sont pas malveillants, il est important de disposer d’une protection qui analyse constamment et intelligemment ces programmes.
Ransomware
Les ransomwares sont des logiciels malveillants qui accèdent aux informations sensibles d’un système. Ils les chiffrent de manière à ce que l’utilisateur ne puisse pas y accéder. Ensuite, ils exigent un paiement pour que les données soient restituées.
Les rançongiciels font généralement partie d’une escroquerie par phishing. En cliquant sur un lien déguisé, l’utilisateur télécharge le ransomware. L’attaquant procède au cryptage d’informations spécifiques qui ne peuvent être ouvertes que par une clé mathématique qu’il connaît. Lorsque l’attaquant reçoit le paiement, les données sont déverrouillées ; en tout cas en théorie …
Les logiciels malveillants sans fichier ou fileless malware
Les fileless malwares sont un type de logiciels malveillants résidant en mémoire. Comme le terme l’indique, il s’agit de logiciels malveillants qui opèrent à partir de la mémoire de l’ordinateur de la victime ; et non à partir de fichiers sur le disque dur.
Comme il n’y a pas de fichiers à analyser, ils sont plus difficiles à détecter que les logiciels malveillants traditionnels. Il rend également les analyses plus difficiles, car le malware disparaît lorsque l’ordinateur de la victime est redémarré.
Quels sont les avantages de la protection contre les logiciels malveillants avancés ?
Les malwares avancés peuvent prendre la forme de logiciels malveillants courants qui ont été modifiés par des pirates informatiques pour augmenter leur capacité d’infection.
Ils peuvent également tester les conditions d’un bac à sable destiné à bloquer les fichiers malveillants et tenter de tromper les logiciels de sécurité en signalant qu’ils ne sont pas des malwares. Les logiciels de protection avancée contre les logiciels malveillants sont conçus pour prévenir, détecter et aider à éliminer les menaces de manière efficace du système informatique.
Catégories et types de protection avancée contre un malware
Prévention contre un malware
Les logiciels antivirus professionnels traditionnels s’appuient largement sur la détection de la signature, ou modèle binaire, d’un virus pour identifier et prévenir les dommages causés par les logiciels malveillants. Mais la plupart des auteurs de logiciels malveillants ont une longueur d’avance sur ces logiciels. Ils créent des virus oligomorphes, polymorphes et, plus récemment, métamorphes. Ils utilisent des techniques d’obscurcissement telles que le cryptage de certaines parties d’eux-mêmes ; ou qui se modifient de manière à ne pas correspondre aux signatures de virus dans la base de données antivirus.
La sécurité des points de terminaison qui utilise une protection avancée contre les malwares bloque les exploits des logiciels malveillants connus avec précision et efficacité sans dépendre uniquement des signatures. À l’inverse, les solutions antivirus existantes peuvent être aveugles aux logiciels malveillants au format zip ou autre ; ainsi qu’aux malwares sans fichier, et ne parviennent donc pas à détecter les menaces avancées.
Détection / Recherche du malware
Vers 2013, l’industrie de la cybersécurité a commencé à s’orienter vers des approches de protection antivirale sans signature. Les solutions antivirus traditionnelles peuvent avoir du mal à détecter avec précision les menaces à faible prévalence. Mais la sécurité des points d’extrémité qui utilise une surveillance continue de toute l’activité des fichiers permet de détecter plus rapidement les nouvelles menaces.
De nouvelles fonctionnalités antivirus ont été développées pour détecter et atténuer les attaques de type « zero-day » et d’autres logiciels malveillants plus sophistiqués. Voici quelques-unes de ces fonctionnalités nouvelle génération :
- La détection des logiciels malveillants basée sur le comportement. Cela construit un contexte complet autour de chaque chemin d’exécution de processus en temps réel.
- Les modèles d’apprentissage automatique. Ils identifient les modèles correspondant aux caractéristiques connues des logiciels malveillants et d’autres formes d’intelligence artificielle.
Réponse au malware
On trouve désormais des méthodes de réponse plus efficaces dans les solutions de protection avancée contre les programmes malveillants, telles que les outils de détection et de réponse aux points d’extrémité (EDR) ; et, plus récemment, les outils de détection et de réponse étendues (XDR).
Contrairement à la sécurité traditionnelle des points d’extrémité, les solutions de protection avancée contre les malwares offrent également une sécurité informatique rétrospective qui permet de contenir rapidement la menace au premier signe de comportement malveillant.
Efficacité
Les déploiements d’antivirus traditionnels nécessitent souvent une configuration et une gestion complexes. Ainsi, les solutions de protection avancée contre les logiciels malveillants assurent la prévention, la détection et la réponse en une seule solution. Ils sont généralement hautement automatisées. Leurs plateformes intégrées et ouvertes permettent des flux de travail beaucoup plus simples et efficaces.
FAQ autour de la thématique des malwares
Comment savoir si vous avez un malware sur votre ordinateur ?
Recherchez un comportement inhabituel de vos appareils mobiles ou ordinateur. Votre appareil peut avoir été infecté par un malware s’il :
- ralentit soudainement, tombe en panne ou affiche des messages d’erreur fatale répétés ;
- ne s’éteint pas ou ne redémarre pas ;
- ne vous permet pas de supprimer un logiciel ;
- il affiche de nombreuses fenêtres pop-up, des publicités inappropriées ou des publicités qui interfèrent avec le contenu de la page ;
- affiche des publicités dans des endroits où vous ne les voyez généralement pas, comme les sites web gouvernementaux ;
- affiche des barres d’outils ou des icônes nouvelles et inattendues dans votre navigateur ou sur votre bureau ;
- utilise un nouveau moteur de recherche par défaut, ou affiche de nouveaux onglets ou sites Web que vous n’avez pas ouverts ;
- change constamment la page d’accueil internet de votre ordinateur ;
- envoie des e-mails que vous n’avez pas écrits ;
- perd soudainement beaucoup d’espace de stockage ;
- épuise la batterie plus rapidement qu’il ne le devrait.
Est-ce que un malware est dangereux ?
Pour ce qui est de la dangerosité des logiciels malveillants, la réponse courte est « très ». Comme nous l’avons indiqué, certains types de malwares sont particulièrement dangereux ; comme les ransomwares qui verrouillent votre vie numérique. Même si vous payez la rançon demandée, rien ne garantit que l’auteur la cyberattaque vous laissera récupérer vos fichiers.
Un malware peut avoir toutes sortes d’effets négatifs sur votre PC. Notamment vous espionner (via une webcam, par exemple), voler vos mots de passe ou d’autres données personnelles. Il peut aussi ralentir votre PC ou votre connexion internet, voire détruire complètement tous vos fichiers.
Les logiciels malveillants ne sont donc pas seulement dangereux. Ils peuvent même être mortels, du moins pour vos fichiers, votre système … ou même votre entreprise.
Quelle est la différence entre un virus et un malware ?
Les termes « virus » et « malware » sont souvent utilisés de manière interchangeable. Cependant, ils sont techniquement différents. Ainsi, la différenciation des logiciels malveillants par rapport aux virus est importante.
Le terme « malware » est un terme générique qui désigne tout type de logiciel malveillant. Indépendamment de son mode de fonctionnement, de son intention ou de son mode de distribution.
Un virus est un type spécifique de logiciel malveillant qui s’auto-réplique en insérant son code dans d’autres programmes. Les virus informatiques sont très présents depuis presque le début de l’internet commercial. Le premier a été créé en 1982 pour l’Apple II. D’autres versions ont rapidement suivi.
Les virus se propagent en s’attachant à des fichiers et programmes légitimes. Ils sont distribués par le biais de sites web, de clés USB et d’e-mails infectés. Une victime active un virus en ouvrant l’application locale ou le fichier infecté. Une fois activé, un virus peut supprimer ou crypter des fichiers. Aussi, il peut modifier des applications ou désactiver des fonctions du système.
Anti-malware vs Antivirus
Un logiciel antivirus est conçu pour détecter et supprimer les virus et autres logiciels malveillants d’un système. L’anti-malware est un programme qui protège le système contre toutes sortes de logiciels malveillants ; notamment les chevaux de Troie, les vers et les logiciels publicitaires.
Exemples de logiciels malveillants et de virus
Il existe de nombreux types de virus différents. Voici les trois exemples les plus courants :
- L’infecteur de fichiers peut se faufiler dans des fichiers exécutables et se propager à travers un réseau informatique. L’infecteur de fichiers peut écraser le système d’exploitation d’un ordinateur ; ou même reformater son disque.
- Le virus macro tire parti des programmes qui prennent en charge les macros. Les virus macro arrivent généralement sous la forme de documents Word ou Excel joints à un courrier électronique non sollicité ; ou d’une pièce jointe zippée. Les faux noms de fichiers incitent les destinataires à ouvrir les fichiers, ce qui active les virus. Ce type de malware ancien mais toujours aussi important reste populaire auprès des pirates.
- Les virus polymorphes modifient leur propre code. Le virus se réplique et se crypte, modifiant son code juste assez pour échapper à la détection des programmes antivirus.
Les logiciels malveillants englobent tous les types de logiciels malveillants ; y compris les virus. Ils peuvent avoir des objectifs variés. Voici quelques-uns des objectifs communs des logiciels malveillants :
- Tromper une victime pour qu’elle fournisse des données personnelles en vue d’un vol d’identité.
- Voler les données des cartes de crédit des consommateurs ou d’autres données financières.
- Prendre le contrôle de plusieurs ordinateurs pour lancer des attaques par déni de service (DDoS) contre d’autres réseaux infecter des ordinateurs et les utiliser pour extraire des bitcoins ; ou d’autres crypto-monnaies.
Comment nettoyer les malwares sur un PC ou un MAC ?
Il est possible d’éliminer les malwares sur un PC ou un MAC à l’aide de logiciels de sécurité. Ces logiciels fonctionnent en analysant le système, en détectant les menaces et en les supprimant. Ces logiciels peuvent être téléchargés à partir des sites Web des fournisseurs de logiciels et peuvent être installés sur votre ordinateur.
Comment enlever un malware sur un PC ?
Sur Windows, dans un premier temps, vous pouvez utiliser Windows Security. Windows Security est un outil d’analyse puissant qui trouve et supprime les logiciels malveillants de votre PC. Voici comment l’utiliser dans Windows 10 pour analyser votre PC.
Important : avant d’utiliser Windows Defender Offline, assurez-vous d’enregistrer tous les fichiers ouverts et de fermer les applications et programmes.
- Ouvrez vos paramètres de sécurité Windows.
- Sélectionnez Protection contre les virus et les menaces > Options d’analyse.
- Sélectionnez Analyse de Windows Defender Offline. Ensuite, sélectionnez Analyser maintenant.
- L’analyse de Windows Defender Offline prend environ 15 minutes, puis votre PC redémarre.
- Afficher les résultats de votre analyse
- Ouvrez vos paramètres de sécurité Windows.
- Enfin, sélectionnez Protection contre les virus et les menaces > Historique de protection.
L’analyse Windows Defender Offline détectera automatiquement et supprimera ou mettra en quarantaine les logiciels malveillants.
Comment supprimer un malware sur un MAC ?
Il est possible de supprimer les logiciels malveillants d’un Mac en exécutant un scanner et en prenant des mesures pour réparer votre navigateur web. Voici un petit guide, étape par étape, pour supprimer un malware de votre ordinateur.
- Se déconnecter d’Internet.
- Ensuite, passez en mode sans échec.
- Vérifiez que votre moniteur d’activité ne contient pas d’applications malveillantes.
- Exécutez un scanner de logiciels malveillants.
- Vérifiez la page d’accueil de votre navigateur.
- Enfin, videz votre cache.
Qu’est-ce qu’un rootkit ?
Un rootkit est un malware conçu pour fournir un accès privilégié continu à un ordinateur tout en dissimulant activement sa présence. Le terme « rootkit » est un lien entre les deux mots « root » et « kit ».
À l’origine, un rootkit était une collection d’outils permettant un accès de niveau administrateur à un ordinateur ou à un réseau. Le mot « root » fait référence au compte Admin sur les systèmes Unix et Linux. Le mot « kit » aux composants logiciels qui mettent en œuvre l’outil.
Aujourd’hui, les rootkits sont généralement associés aux logiciels malveillants ; tels que les chevaux de Troie, les vers, les virus qui dissimulent leur existence et leurs actions aux utilisateurs et aux autres processus système.
Un rootkit permet à quelqu’un de garder le contrôle d’un ordinateur sans que l’utilisateur ou le propriétaire de l’ordinateur ne le sache. Une fois qu’un rootkit a été installé, le contrôleur du rootkit a la possibilité d’exécuter à distance des fichiers. Ainsi, il peut modifier les configurations du système sur la machine hôte. Un rootkit installé sur un ordinateur infecté peut également accéder aux fichiers journaux et espionner l’utilisation du propriétaire légitime de l’ordinateur.
La petite histoire du malware
1971 : La première preuve de concept
Avant qu’internet existe, du moins sous la forme que nous lui connaissons aujourd’hui, il y avait le réseau l’Advanced Research Projects Agency Network. ARPANET a débuté en 1967 pour essayer de connecter des ordinateurs distants. Les premiers ordinateurs ont été connectés en 1969. Ensuite, un an plus tard, le programme de contrôle du réseau (NCP) a été développé ; le prédécesseur de la pile moderne TCP/IP. Le NCP était la première couche de transport de réseau permettant aux données de circuler d’ordinateur à ordinateur.
En 1971, le premier microprocesseur a été développé, l’Intel 4004. Ironiquement, 1971 est aussi l’année de la première démonstration de concept du premier virus au monde ; surnommé « The Creeper ». Bien que crédité et référencé par diverses entités comme le premier virus informatique au monde, le Creeper présentait en fait le comportement d’un ver. Basé sur un concept formulé pour la première fois par le mathématicien allemand John von Neumann dans les années 1940, il a été construit chez BBN par l’ingénieur Bob Thomas. Il s’est répandu dans les ordinateurs d’ARPANET et a affiché le message suivant : « I’m the creeper, catch me if you can »
Comme ses successeurs modernes, le ver se propageait via un protocole réseau. L’intention n’était pas de faire preuve de malveillance, mais de voir si le message « I’m the creeper, catch me if you can » pouvait se propager à d’autres ordinateurs via ARPANET.
1982 : Le premier virus Mac
Contrairement à ce que disent tous les non-techniciens, « les Mac ne sont pas sensibles aux virus », le premier virus informatique découvert, surnommé « Elk Cloner », a été conçu pour cibler les ordinateurs Apple II.
Il a été écrit par un jeune de 15 ans qui écrivait de tels programmes pour faire des farces à ses amis. Ce virus se propageait chaque fois qu’un disque infecté était exécuté. Le virus résidait en mémoire et cherchait une disquette propre à infecter. Au cinquantième démarrage, Elk Cloner affichait un poème à l’utilisateur.
1986 : Le premier virus pour PC
En 1986, l’informatique est encore rudimentaire : lente et non connectée à internet. Les toutes premières itérations de l’internet sont reléguées aux gouvernements et aux universités. Il faudra attendre au moins trois ans pour que les fournisseurs d’accès à Internet (FAI) commencent à offrir un accès public à internet.
Cependant, l’année 1986 a également vu le lancement du premier virus pour PC ; surnommé « Brain ». Il a changé le monde de la sécurité informatique tel que nous le connaissons aujourd’hui. Originaire du Pakistan, il s’est rapidement propagé dans le monde entier ; en Europe et en Amérique du Nord. Ironiquement, le virus s’était répliqué de machine en machine à cause d’une contre-mesure anti-piratage.
Le virus Brain a été mis au point par Amjad Farooq Alvi et Basit Farooq Alvi. Deux frères pakistanais qui ont créé un virus de secteur de démarrage qui chargeait un message d’avertissement aux personnes utilisant une copie pirate de leur logiciel médical. Bien sûr, comme il n’y avait pas d’internet, il s’est propagé par l’interaction humaine via la copie de disquettes. À l’insu de l’utilisateur, le MBR (Master Boot Record) de la machine de la victime était infecté lors de la copie illégale du logiciel et se propageait lorsque la disquette était insérée dans la machine suivante. Comme il n’y avait aucun moyen de savoir qu’un virus MBR était infecté, il s’est propagé jusqu’à devenir un phénomène mondial.
Heureusement pour beaucoup, ce n’était pas un virus destructeur. Il cachait un secteur particulier afin que la machine ne démarre pas et affichait une notification contenant les informations de contact des frères Farooq Alvi pour y remédier. Ils affirment qu’ils voulaient que les personnes touchées les appellent pour discuter de la manière d’obtenir leur logiciel légalement.
1988 : Le ver Morris
La différence entre un virus et un ver est qu’un ver n’a pas besoin d’interaction humaine pour se propager à grande échelle. Il y a plus de 30 ans, le premier ver au monde est né. On l’appelait le ver Morris, du nom de son auteur, Robert Morris. Ce ver n’était pas un malware. Il a été créé comme une preuve de concept pour voir si la réplication sans intervention humaine était possible.
M. Morris a été le premier à être condamné en vertu de la loi sur la fraude et l’abus informatiques. Toutefois, il est ensuite devenu un entrepreneur prospère et a été titularisé au Massachusetts Institute of Technology (MIT).
1989 : Le premier ransomware au monde
En 1989, le cheval de Troie AIDS fait son apparition. Ce qui en fait le premier ransomware observé au monde. Par coïncidence, c’est également en 1989 que l’accès à l’internet a été rendu public pour la première fois par un fournisseur d’accès appelé TheWorld ; aux États-Unis. Toutefois, ce n’est qu’en 2005 que les ransomwares ont profité de la connectivité internet pour infecter et cibler des victimes.
1992 : Michelangelo
Ensuite, Michelangelo a été le prochain virus très médiatisé à avoir un impact significatif. Michelangelo était un virus qui ciblait les partitions DOS. Il a été écrit en langage Assembly. Et, comme ses prédécesseurs, il s’est propagé par le biais de disquettes. Ce qui lui permettait de se propager pendant le processus de copie et de chargement.
Il a été baptisé Michelangelo parce qu’il avait été programmé avec une bombe à retardement ; avec l’instruction de se réveiller le 6 mars, jour de l’anniversaire de Michelangelo. Ce qui l’a rendu tristement célèbre, c’est qu’après sa découverte, les médias ont largement couvert l’affaire en avertissant les utilisateurs de ne pas éteindre leur ordinateur ce jour-là ou de changer la date de leur machine un jour plus tôt pour éviter d’être touchés. C’était la première fois qu’un virus recevait autant d’attention de la part des médias grand public.
1994-95 : La scène warez et les premières attaques de phishing
Alors que l’utilisation d’Internet gagne du terrain, les escroqueries et le hameçonnage se développent également. Pour beaucoup de ceux qui ont grandi dans les salles de discussion d’AOL, la scène progz (argot pour programmes) et warez (argot pour logiciels) du milieu des années 90 était révolutionnaire.
De nouveaux programmes ont commencé à être échangés sur des salons de discussion warez illicites qui contenaient des punterz (pour mettre les gens hors ligne), des progz de phishing (pour voler les comptes des utilisateurs) et des outils utilisés pour générer des cartes de crédit aléatoires. L’un des programmes les plus célèbres était AOHell. Un jeu de mots sur le nom d’AOL, qui contenait un créateur de compte aléatoire qui utilisait des comptes de carte de crédit créés au hasard pour ouvrir un compte gratuitement.
Il contenait également l’une des premières preuves de phishing. De faux robots de messagerie instantanée AOL envoyaient des messages instantanés sans discernement à des cibles leur demandant de vérifier les informations d’identification de leur compte. Prétendant qu’il y avait un problème de facturation ou un problème similaire.
1999/2000 : Apparition du premier malware de type botnet
Ensuite, en 2000, l’accès à haut débit commence à gagner du terrain au-delà des entreprises qui peuvent se permettre d’avoir accès à une ligne T1 grâce aux connexions DSL. Les particuliers et les entreprises peuvent désormais être en ligne 24 heures sur 24 et 7 jours sur 7. Au cours des années suivantes, les cybercriminels ont exploité cet accès omniprésent en ouvrant l’ère des botnets et des vers.
Le premier botnet observé a été le botnet EarthLink Spam en 2000. Sa tâche était simple : envoyer des quantités massives de spam. À l’époque, le botnet EarthLink représentait 25 % de l’ensemble du spam électronique ; soit environ 1,25 milliard de messages au total. Cette campagne a valu à son opérateur Khan C. Smith un jugement sans précédent le condamnant à une amende de 25 millions de dollars américains.
GTbot a été introduit en 1999, ce qui en fait le premier botnet. Ce malware était très rudimentaire. Il se propageait essentiellement à d’autres machines et recevait des commandes via IRC. Ces commandes étaient émises par les contrôleurs de GTbot, qui utilisaient ce réseau de dispositifs affectés (appelés zombies) pour lancer des attaques par déni de service distribué (DDoS).
La montée en puissance du ver
Les vers font toujours partie de l’arsenal des acteurs de la menace ; même s’ils ne sont plus aussi courants aujourd’hui. Comme expliqué précédemment, les vers sont différents des virus car ils n’ont pas besoin d’interaction humaine pour se propager. Et comme un ver se propage tout seul, il peut se répandre largement en peu de temps.
Indépendamment de son intention, être infecté par un ver à cette époque était généralement très visible. Cela entraînait souvent un déni de service (généralement dû à une faille). Parce qu’ils consomment de plus en plus de cycles de système d’exploitation, ils finissent par forcer une machine infectée à s’arrêter net. L’attaque par déni de service qui en résulte peut se propager en cascade dans toute l’entreprise à mesure que le ver se répand ; perturbant ainsi toute une organisation.
2000 : I LOVE YOU 2000 Blaster Sasser
Le ver I LOVE YOU a ouvert le millénaire avec une importante couverture médiatique. Il s’est propagé dans le monde entier à une vitesse record. Le ver I LOVE YOU a été créé par Onel De Guzman ; un étudiant des Philippines.
Le malware I LOVE YOU s’est propagé en utilisant plusieurs mécanismes. Tout d’abord, il a été envoyé aux utilisateurs par courrier électronique sous la forme d’une pièce jointe malveillante ; « LOVE-LETTER-FOR-YOU.vbs.txt ». Lorsqu’il était ouvert par la victime, le ver recherchait le carnet d’adresses Microsoft Outlook de la victime. Ensuite, il envoyait des courriels en se faisant passer pour la victime et en se répliquant en tant que pièce jointe.
Cette approche novatrice a permis d’infecter des millions d’ordinateurs en quelques jours, car de nombreuses personnes faisaient confiance aux courriels provenant de personnes de confiance ; notamment des amis, des membres de la famille et des collègues. Cette méthode, qui consiste à extraire le carnet d’adresses d’une cible et à se faire passer pour elle dans un courrier électronique, est toujours utilisée dans le cadre du savoir-faire des acteurs de la menace (EMOTET).
2003 : Le malware Blaster (MSBlast, lovesan)
En août 2003, de nombreuses personnes et sociétés étaient connectées à internet à l’aide d’une connexion haut débit. Cela a donné lieu à des attaques vermiformes qui ont battu tous les records.
Le 11 août 2003, Blaster (également connu sous le nom de MSBlast et lovesan) a été lancé. Les particuliers et les employés de grandes entreprises ont été surpris lorsque leurs machines ont soudainement connu le redoutable « écran bleu de la mort » (BSOD) et ont redémarré. Ce qu’ils ne savaient pas, c’est qu’ils avaient été touchés par le ver Blaster.
Blaster a ciblé une vulnérabilité de l’appel de procédure à distance (RPC) dans les systèmes d’exploitation Microsoft Windows XP et 2003 pour se propager dans le monde entier. L’objectif du ver était d’effectuer une attaque SYN flood contre windowsupdate.com pour empêcher les machines d’accéder aux mises à jour. Heureusement pour Microsoft, l’auteur a commis l’erreur de diriger Blaster vers le mauvais domaine. Le domaine windowsupdate.com n’était pas essentiel car les machines utilisaient plutôt windowsupdate.microsoft.com pour recevoir leurs mises à jour.
Cependant, en raison d’un bogue dans le ver, il a également provoqué un déni de service (BSOD) dû à un débordement de mémoire tampon. Les redémarrages continus n’ont rien fait pour l’entraver ; car il a simplement recommencé, éteignant les machines encore et encore. En raison de l’adoption généralisée de la connectivité Internet, cette attaque est devenue la première cyberattaque mondiale par déni de service.
Le malware Code Red (2001)
Ce ver hybride recherchait des serveurs Web vulnérables utilisant Microsoft IIS. Une fois qu’il a trouvé un serveur vulnérable, le malware affiche le message suivant : HELLO ! Welcome to http://www.worm.com ! Hacked By Chinese !
Il lançait également des attaques DDoS contre des sites prédéterminés.
Le malware MyDoom (2004)
Il s’agit du ver de messagerie qui s’est propagé le plus rapidement, dépassant I LOVE YOU. MyDoom détient toujours le record pour cet exploit.
2005 : Mytob/Zotob, combinaison de vers/backdoors/botnet
Mytob combine les fonctionnalités d’un ver, d’une backdooor et d’un botnet. Ce malware est une variante de MyDoom, créée par le même codeur qui a créé le ver Zotob. Mytob a infecté les machines des victimes de deux manières. Il est arrivé par courrier électronique via des pièces jointes malveillantes ; ou a exploité des vulnérabilités dans le protocole LSASS (MS04-011) ou RCP-DCOM (MS04-012). Ensuite, il a utilisé l’exécution de code à distance. Il utilisait également le carnet d’adresses de la victime pour se propager et recherchait d’autres machines par le biais d’analyses du réseau pour voir si elles pouvaient être compromises.
Ainsi, Mytob a été l’un des premiers virus à bloquer spécifiquement les logiciels antivirus ou à s’y opposer en empêchant la connexion de la machine de la victime à divers sites de mise à jour. Pour ce faire, tous les URI des fournisseurs connus étaient redirigés vers 127.0.0.1 ; une adresse IP locale. Ainsi, toutes les requêtes adressées à des sites web publics aboutissaient à la machine elle-même et ne menaient nulle part.
2005 : CoolWebSearch et BayRob
CoolWebSearch, communément appelé « CWS », a été la première opération cybercriminelle à détourner les résultats de recherche de Google ; en les superposant à ceux des acteurs de la menace eux-mêmes. Cette opération visait à voler des clics à Google. Le CWS était le plus souvent distribué par le biais de téléchargements de type « drive-by » ; ou de programmes adware. Il était si répandu et si difficile à supprimer que des volontaires ont développé des programmes et géré des forums Web pour aider à supprimer gratuitement les infections par CWS. Le malware CWS Shredder était l’un des nombreux programmes largement utilisés par les victimes de CoolWebSearch pour les aider à remettre leurs machines en état.
Une attaque similaire est apparue plusieurs années plus tard, en 2007. Elle utilisait une variante du détournement des résultats de recherche d’eBay.
2010 : Le malware Stuxnet
Ensuite, les années 2010 ont été marquées par la première découverte d’un malware d’État utilisé pour cibler les systèmes de contrôle industriel ; en particulier les systèmes de contrôle de surveillance et d’acquisition de données.
Stuxnet s’est avéré être le premier logiciel malveillant d’État à cibler des infrastructures critiques, en l’occurrence des centrifugeuses industrielles (notamment nucléaires) ; provoquant leur surrégime et leur fusion. Stuxnet visait spécifiquement des organisations en Iran, mais s’est rapidement propagé à d’autres systèmes SCADA dans le monde. L’analyse du malware Stuxnet a mis en évidence qu’il n’était pas spécifique à l’Iran et qu’il pouvait être adapté à toute organisation utilisant des dispositifs ICS similaires. En 2012, un article du NY Times a confirmé que les États-Unis et Israël avaient développé Stuxnet.
2011 : Le malware Regin
Le malware Regin est un cheval de Troie d’accès à distance (RAT) très modulaire. Cela lui permet d’être très flexible et de s’adapter à un environnement ciblé. Regin a également réussi parce que son fonctionnement était très inoffensif. Les fichiers qui étaient exfiltrés étaient souvent conservés dans un conteneur crypté. Mais au lieu d’être stockés dans plusieurs fichiers, tout était conservé dans un seul fichier ; évitant ainsi d’éveiller les soupçons des administrateurs système ou des logiciels antivirus. Selon Der Spiegel, Regin était une création de la NSA et avait été conçu pour espionner l’UE et ses citoyens. Cette information a été révélée par la tristement célèbre fuite d’informations classifiées fournie par Edward Snowden.
2012 : Le malware Flame
Flame était considéré comme le malware le plus avancé jamais découvert au moment de sa découverte. Il avait tout : une capacité vermiforme à se propager via les réseaux LAN, il pouvait enregistrer et capturer des captures d’écran et de l’audio. Aussi, il pouvait écouter et enregistrer des conversations Skype. Enfin, il pouvait transformer des postes de travail Bluetooth en balises d’écoute qui pouvaient ensuite exfiltrer et déplacer des fichiers vers d’autres balises ; pour finalement envoyer des fichiers à un serveur C2 prédéterminé. Flame visait principalement les organisations du Moyen-Orient.
2011/12 : Le malware Reveton
Reveton n’a pas été le premier « ransomware » de l’ère de l’Internet. Cette distinction revient à GPCODe (2005) ; et à d’autres. Cependant, le malware Reveton a été l’archétype du ransomware moderne ; contribuant à établir l’aspect et la convivialité qui existent encore aujourd’hui. Notamment l’écran de verrouillage omniprésent qui fournit des détails sur ce qui s’est passé, comment entrer en contact avec le mauvais acteur, comment payer la rançon et comment déchiffrer les fichiers, etc.
Reveton a également fait couler beaucoup d’encre car il présentait toutes les caractéristiques d’une organisation cybercriminelle professionnelle. Non seulement il avait une apparence professionnelle, mais il utilisait également des modèles ; ce qui était une autre première. Les écrans de verrouillage s’affichaient à l’utilisateur en fonction de sa géolocalisation et présentaient à la victime l’écran de verrouillage d’un organisme local d’application de la loi ; accompagné d’instructions sur la manière d’effectuer le paiement.
2013 : CryptoLocker – l’arrivée des crypto-monnaies comme moyen de paiement
CryptoLocker a été le premier ransomware à demander un paiement en bitcoins. Le prix du décryptage était de deux BTC. Ce qui, en 2013, représentait entre 13 et 1 100 dollars ; soit une somme modeste pour les acteurs de la menace.
N’oubliez pas que les crypto-monnaies n’en étaient qu’à leurs balbutiements et qu’il était difficile de convaincre des victimes non initiées non seulement de payer mais aussi de comprendre comment utiliser les crypto-monnaies.
2013 : DarkSeoul et Lazarus
Outre les ransomwares, 2013 a également marqué le début de l’ère des attaques parrainées par des États. Le malware DarkSeoul a visé le diffuseur coréen SBS et des institutions bancaires en Corée du Sud le 20 mars 2013. Le logiciel malveillant utilisé dans cette attaque, Jokra, ciblait le master boot record (MBR) d’un appareil et les écrasait. De nombreux utilisateurs de fournisseurs de services internet, de télécoms et de distributeurs automatiques de billets ont également été touchés ; leurs réseaux ayant été mis hors ligne.
Cette attaque a été attribuée à Lazarus (Corée du Nord), qui a également ciblé Sony Corporation en 2014. L’équipe de Lazarus a également été associée à des attaques contre la Banque du Bangladesh en 2016. Ils ont tenté de voler 951 millions de dollars mais n’ont réussi à s’en sortir qu’avec 81 millions de dollars.
2015 : Browser Locker et fausses arnaques au support technique (BSOD)
Bien qu’il ne s’agisse techniquement pas de logiciels malveillants, les premières arnaques au support technique et diverses variantes de Browser Locker sont apparues en 2015. Ces attaques nuisibles imitent essentiellement les ransomwares en amenant les victimes soit à paniquer et à appeler un faux numéro d’assistance.
Le stratagème déployait un JavaScript malveillant sur des sites Web légitimes qui avaient été compromis. Ce JavaScript rendait alors un navigateur inopérant, affichant fréquemment des avertissements et des demandes en mode plein écran ; paiement pour déverrouiller, vente de faux logiciels de remédiation ou de services techniques, etc. D’autres variantes de cette stratégie consistaient en l’affichage d’écrans bleus (BSOD), qui semblaient convaincants pour la victime ; notamment un numéro gratuit prétendant être le support technique de Microsoft. Mais il s’agissait en fait d’un acteur de la menace dans un centre d’appels situé dans un pays étranger.
2016 : Le premier botnet IoT arrive
L’arrivée de Mirai en a surpris plus d’un. Il s’agissait du premier botnet à cibler les appareils IoT. S’il ciblait principalement les routeurs de réseau, il incluait d’autres appareils IoT. Mirai était principalement un botnet DDoS. Il a été impliqué dans des attaques notables contre le site web de Brian Krebs, krebsonsecurity.com. Il est aussi responsable de la mise hors service d’un segment massif de l’internet ; perturbant l’accès et les services dans le monde entier.
Mirai n’était pas seulement une attaque très médiatisée en raison de sa nouveauté, mais aussi parce qu’elle a été capable d’amasser une armée mondiale de botnets en très peu de temps. Ce qui lui a permis de rediriger le trafic internet vers des sites ciblés à partir de systèmes infectés dans le monde entier. Il était donc particulièrement difficile de s’en défendre. Le flux de trafic provenait de partout.
2017 : ShadowBrokers (NSA), WannaCry, Petya/NotPetya et la non-divulgation des vulnérabilités.
La fuite ShadowBrokers de la NSA a été sans précédent et dévastatrice. Non seulement parce qu’elle a révélé des logiciels malveillants secrets développés aux plus hauts niveaux du gouvernement américain, mais aussi parce que les acteurs de la menace ont effectivement réutilisé les outils et les exploits qui ont été publiés. Ces outils, dont le nom de code est « Fuzzbunch », étaient un cadre d’exploitation développé par la NSA.
Une partie de ce cadre comprenait un malware connu sous le nom de DoublePulsar, une attaque par porte dérobée qui contenait le tristement célèbre exploit « EternalBlue ». EternalBlue était un exploit de type « zero-day » que la NSA conservait dans son arsenal. Il visait le protocole SMB (Server Message Block) de Microsoft (CVE-2017-0444).
Il a ensuite été utilisé pour diffuser les tristement célèbres ransomwares WannaCry, Petya/NotPetya, avec des conséquences désastreuses. Ces variantes de ransomware ont été si perturbatrices qu’elles ont provoqué l’arrêt d’installations de fabrication dans le monde entier.
2017 : Malware de minage de crypto-monnaies
Même si les menaces liées aux crypto-monnaies étaient reléguées dans un premier temps aux ransomwares ou aux vols de portefeuilles de crypto-monnaies, 2018 a introduit une méthode jamais vue auparavant. XMRig est une application de minage écrite pour miner la crypto-monnaie Monero. Elle fonctionne en utilisant les cycles CPU inutilisés d’une machine pour aider à résoudre divers problèmes mathématiques utilisés dans le minage de crypto-monnaies. Cependant, des cybergangs ont commencé à installer subrepticement XMRig sur des machines et des appareils compromis ; puis à collecter et à agréger les données résultantes pour leur propre profit en crypto-monnaie.
Les variantes des campagnes qui ont intégré XMRig dans leurs attaques ont également ciblé des appareils mobiles via des APK Android malveillants, des conteneurs docker et des attaques de chaîne d’approvisionnement ciblant NPM ; pour n’en citer que quelques-unes.
2019 : Le malware GandCrab et l’émergence des ransomwares en tant que service
Enfin, GandCrab a inauguré une nouvelle vague qui a fait grimper le volume et la virulence des attaques en fournissant des ransomwares pour les masses ; contre rémunération.
GandCrab a cherché à faire deux choses : se distancer des attaques réelles contre les entreprises et générer plus de revenus. Il a perfectionné le modèle économique connu sous le nom de Ransomware-as-a-Service (RaaS). Le RaaS permet aux auteurs de GandCrab de travailler sur leur code tout en confiant à d’autres la réalisation des cyberattaques. Dans ce modèle, les affiliés font tout le sale boulot tandis que les auteurs restent en arrière-plan et prennent une part de la rançon reçue.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !