Les cyber attaques ne dorment jamais. De BadRabbit à IoT_reaper en passant par KrackAttacks, tour d’horizon des attaques qui ont fait l’actualité depuis la rentrée.
Un papier issu des travaux de recherches de notre équipe de Threat Intelligence.
IoT_reaper : les objets connectés encore visés
Détectée le 13 septembre par des chercheurs en sécurité, l’attaque IoT_reaper serait un cousin éloigné de Mirai, le botnet historique de 2016. Ses cibles : des constructeurs d’objets connectés comme des caméras IP sans fil ou des routeurs. Et ses conséquences : un réseau d’objets connectés infectés qui dépasserait déjà les deux millions d’appareils.
Comme Mirai, IoT_reaper est capable d’infecter des objets connectés avant de se diffuser depuis les nouvelles victimes infectées. Et cette attaque semble basée sur un large éventail de vulnérabilités exploitables, de Dlink à JAWS en passant par Vacron, qui sont intégrées dans le malware et surtout régulièrement mises à jour par ses auteurs.
KrackAttacks : le Wi-Fi au cœur de la tourmente
Révélée le 16 octobre par Mathy Vanhoef, un chercheur belge, cette nouvelle faille concerne le protocole WPA2, à savoir le dispositif chargé de chiffrer les échanges entre le point d'accès Wi-Fi et l'utilisateur final.
Cette faille a un impact mondial. À travers les réseaux Wi-Fi, dont le vôtre, vos données pourraient donc être potentiellement piratées, de vos e-mails jusqu’à vos identifiants bancaires.
Depuis la révélation de cette faille, les patchs se multiplient pour protéger l’ensemble des équipements Wi-Fi utilisant le protocole WPA2. Restez attentifs cependant avec vos objets connectés, dont les problématiques de maintenance et de vulnérabilités sont à géométrie variable.
BadRabbit : beaucoup de bruit pour presque rien ?
Depuis la nuit du 24 octobre, le malware BadRabbit a touché la Russie et l’Ukraine, avant de s’étendre à la Turquie, la Bulgarie et l’Allemagne. Après WannaCry et NotPetya, on parle d’un troisième ransomware massif qui s’attaque à l’Europe. Un virus distribué via des fausses pages web, qui vous demandent d’installer une fausse version de Adobe Flash Player. Une fois installé, il peut se propager automatiquement au sein de votre réseau, bloque les accès à vos données et vous demande une rançon de 0,05 bitcoin (soit environ 283 dollars).
Utilisant la même souche que NotPetya, BadRabbit apparaît tout de même légèrement différent : il repose sur la faille EternalRomance, en lieu et place de la faille EternalBlue. En parallèle de cette faille, il a besoin d’une interaction humaine pour s’installer. Ou d’une entrée par force brute sur les identifiants, en s’appuyant sur une liste de mots de passe par défaut.
BadRabbit semble donc s’attaquer avant tout au bon sens de la cyber protection. Face aux cyber attaques, il est préconisé de sensibiliser vos collaborateurs au phishing mais aussi de toujours mettre à jour vos systèmes d'exploitation et vos applications. Des bonnes pratiques d'autant plus vraies ici que la faille exploitée par EternalRomance a été corrigée en même temps que la faille utilisée par les malwares WannaCry et NotPetya (patch MS17-010). Et qu’une politique de mots de passe forts pour vos utilisateurs et comptes d'administration reste une des premières étapes pour protéger votre entreprise.