L’arroseur arrosé ! Découverte du détournement des paiements liés à la cyberattaque d’un ransomware. Le pirate s’est fait pirater son service malveillant.

Mirai avait eu droit à son quart d’heure de gloire sur la scène des attaques ddos, mais une nouvelle vague d’attaque exploitant une vulnérabilité dans les serveurs memcached est venu détrôner Mirai. Comme le révèle le CDN Akamai, l’attaque visait le site Github qui est venu se réfugier sur l’infrastructure d’Akamai afin de pouvoir rester en ligne malgré l’importante attaque ddos qui visait son site. Akamai est donc parvenu à encaisser le volume entrant tout en minimisant les dégâts pour Github.

Un nouveau malware au doux nom de BadRabbit (vilain lapin) est en train de mettre à feu et à sang la Russie, l’Ukraine, la Turquie, mais aussi l’Europe avec l’Allemagne.

Fonctionnant comme un fork de Petya (Petrwrap, NotPetya, exPetr et GoldenEye), Bad Rabbit s’attaque aux réseaux des entreprises via une fausse mise à jour d’Adobe Flash que l’utilisateur doit lancer manuellement (il n’y a pas encore d’exploit utilisé pour la diffusion), puis explore le réseau interne de l’entreprise à la recherche de partages SMB ouverts et tente un bruteforce sur ceux qui ne sont pas ouverts à l’aide d’une liste de logins et mots de passe codés en dur dans le malware.

Des chercheurs de l’université néerlandophone belge à Louvain ont publié un papier sur une faille dans le protocole WPA2 qui rend possible le déchiffrement des trames, l’interception du trafic réseau, ainsi que l’injection de paquets forgés pour l’occasion. Un attaquant pourrait intercepter des identifiants de connexion (si vous ne passez pas par du HTTPS), insérer des malwares ou de nouveaux contenus dans les sites sur lesquels vous surfez…etc.

Si vous pensiez que cela ressemblait à l'attaque de ransomware WannaCry du mois dernier, vous aviez raison.

Tout comme la dernière fois, l'attaquant inconnu a utilisé un exploit développé par l'Agence nationale de sécurité (NSA), EternalBlue, qui a fuité quelques mois plus tôt. L'attaquant a installé la porte dérobée sur des milliers d'ordinateurs, utilisée ensuite pour délivrer comme charge utile un ransomware.

Ces derniers jours, il fallait probablement habiter une grotte (ou avoir l’esprit trop occupé par l’actualité politique) pour ne pas entendre parler de WannaCrypt0r. Ce rançongiciel, qui exploite une vulnérabilité dans le partage de fichier des systèmes Windows, s’est propagé comme une traînée de poudre à travers le monde. Les médias se sont emparés du sujet, relayant abondamment les déboires d’entreprises telles que FedEx aux États-Unis, Renault en France ou encore les mésaventures d’hôpitaux publics anglais, contraints de reporter des opérations faute de pouvoir accéder aux dossiers des patients.


Cette affaire à eu une très large portée médiatique, ce qui est un bien pour un mal, le fait que les entreprises se soit fait attaquer, cela va peut-être faire prendre conscience aux dirigeants, qu'il est important de sécuriser l'ensemble des infrastructures et d'appliquer les patchs de sécurités régulièrement.

Dyn, le service qui gère une partie essentielle de l'infrastructure de nombreux services, a subi une attaque massive il y a quelques jours. Résultat : de nombreux sites inaccessibles en tapant leur nom de domaine. Derrière l'attaque se cache Mirai, un réseau d'objets connectés « zombies » qui marque un pas dans l'évolution des botnets.