Logiciel Malveillant (ou Malware)

Un logiciel malveillant (ou malware) est un type de programme conçu pour endommager ou nuire à un ordinateur, serveur, client, réseau informatique, une / infrastructure sans que les utilisateurs finaux ne s’en aperçoivent.

Les cybercriminels créent, utilisent et vendent des logiciels malveillants pour différentes raisons, mais ils sont généralement utilisés pour dérober des informations personnelles, financières ou commerciales. Même si leurs motivations peuvent varier, les cybercriminels orientent pratiquement toujours leurs tactiques, techniques et procédures (TTP) pour se procurer des identifiants des comptes à privilèges afin d’accomplir leur mission.

Classification de logiciels malveillants (malwares)

La plupart des logiciels malveillants peuvent être classés dans l’une des catégories suivantes :

• Virus : Lorsqu’un virus informatique est exécuté, il peut se reproduire en modifiant d’autres programmes en y insérant son code malveillant. Il s’agit du seul type de logiciel malveillant capable d’« infecter » d’autres fichiers, et c’est l’un des types de logiciels malveillants les plus difficiles à supprimer.
• Ver : Un ver a le pouvoir de se reproduire sans l’intervention d’un utilisateur final. Il peut infecter des réseaux entiers en se déplaçant rapidement d’une machine à l’autre.
• Cheval de Troie : Un cheval de Troie se déguise en programme légitime. Il s’agit d’un des types de logiciels malveillants les plus difficiles à détecter. Ce type de logiciel contient du code malveillant et des instructions qui, une fois exécutées par la victime, peuvent passer inaperçues. Son but est souvent de permettre à d’autres logiciels malveillants d’accéder au système.
• Logiciel malveillant hybride : Les logiciels malveillants modernes sont souvent « hybrides », c’est-à-dire une combinaison de différents types de programmes. Par exemple, les « bots » prennent d’abord la forme de chevaux de Troie, puis agissent comme des vers lorsqu’ils sont exécutés. On les utilise souvent pour cibler des utilisateurs spécifiques dans le cadre d’une cyberattaque plus vaste touchant tout le réseau.
• Logiciel publicitaire : Un logiciel publicitaire diffuse de façon indésirable agressive des publicités (par exemple, dans des fenêtres contextuelles).
• Publicités piégées : Les publicités piégées utilisent des publicités légitimes pour diffuser un logiciel malveillant sur la machine des utilisateurs finaux.
• Logiciel espion : Un logiciel espion épie l’utilisateur final à son insu ; il collecte les identifiants, les mots de passe, historique de navigation, etc.
• Rançongiciel (ou Ransomware) Les rançongiciels infectent les machines, chiffrent des fichiers et proposent la clé de déchiffrement en échange d’une rançon que doit payer la victime.. Les attaques par rançongiciels ciblant les entreprises et les agences gouvernementales sont de plus en plus fréquentes. Elles coûtent des millions de dollars aux organisations, car certaines paient la somme demandée pour tenter de restaurer leurs systèmes vitaux. Cyptolocker, Petya et Loky partie des familles de rançongiciels les plus connues.

Exemples de logiciels malveillants

Voici quelques exemples (parmi d’autres) de logiciels malveillants utilisés par des cyberattaquants pour cibler des données sensibles :

• Le logiciel Pony est le programme le plus souvent utilisé pour voler des mots de passe et des identifiants. On désigne parfois par l’appellation Pony Stealer, Pony Loader ou FareIT. Le logiciel Pony cible les machines Windows et collecte des informations sur le système et les utilisateurs qui y sont connectés. Il peut être utilisé pour télécharger d’autres programmes malveillants ou pour voler des identifiants et les envoyer au serveur de commande et contrôle.
• Loki, ou Loki-Bot, est un logiciel de vol d’informations qui cible les identifiants et les mots de passe d’environ 80 programmes, y compris tous les navigateurs, clients de messagerie, programmes de contrôle à distance et programmes de partage de fichiers connus. Il est utilisé par des cybercriminels depuis 2016 et demeure un outil populaire pour voler des identifiants et accéder à des données personnelles.
• Krypton Stealer a fait sa première apparition au début de l’année 2019. Il est vendu sur des forums étrangers en tant que MaaS (Malware as a Service, Logiciel malveillant en tant que service) au tarif minime de 100 $, payable en cryptomonnaie. Il cible les machines Windows utilisant la version 7 ou supérieure du système d’exploitation. Il vole les identifiants sans avoir besoin des permissions d’administrateur. Ce logiciel malveillant cible également les numéros de carte de crédit et autres données sensibles stockées dans les navigateurs, par exemple dans l’historique de navigation, les champs de remplissage automatique, la liste des téléchargements, les cookies ou l’historique des recherches.
• Le logiciel Triton a entravé les opérations d’une infrastructure critique au Moyen-Orient, en 2017, au cours de l’une des premières attaques connues utilisant ce programme. Son nom est dérivé du système qu’il cible : les contrôleurs des systèmes de sécurité actifs (SIS) Triconex. Ces systèmes sont utilisés pour verrouiller les opérations dans les centrales nucléaires, les usines à pétrole ou à gaz, en cas de problème, par exemple en cas de panne, d’explosion ou d’incendie. Le logiciel malveillant Triton est conçu pour désactiver ces mécanismes de secours, ce qui pourrait ouvrir la voie à des attaques physiques sur des infrastructures critiques, avec des risques pour la vie humaine.

Comment réduire les risques posés par les logiciels malveillants

Pour renforcer la protection et la détection des logiciels malveillants sans impacter la productivité, les organisations doivent souvent mettre en place les mesures suivantes :

• Utiliser des outils antivirus pour se protéger contre les logiciels malveillants courants et connus.
• Utiliser une technologie de détection et réponse sur les terminaux pour superviser en permanence et neutraliser les attaques de logiciels malveillants et les autres cybermenaces au niveau des machines des utilisateurs finaux.
• Suivre les bonnes pratiques relatives aux correctifs d’applications et des systèmes d’exploitation.
• Mettre en œuvre le principe du moindre privilège et l’accès « juste à temps » pour élever les privilèges des comptes pour certaines tâches spécifiques autorisées afin de préserver la productivité des utilisateurs sans accorder de privilèges inutiles.
• Supprimer les droits d’administrateur local des comptes utilisateur standard afin de réduire la surface d’attaque.
• Appliquer une liste grise d’applications sur les terminaux utilisateur afin d’empêcher les applications inconnues, comme de nouvelles instances de rançongiciels, d’accéder à Internet d’obtenir les droits en lecture, écriture et modification nécessaires pour chiffrer les fichiers.
• Appliquer une liste blanche d’applications sur les serveurs afin de maximiser la sécurité de ces actifs.
• Sauvegarder fréquemment et automatiquement les données issues des terminaux et des serveurs afin d’optimiser une éventuelle reprise sur sinistre.

En savoir plus sur les logiciels malveillants

• Endpoint Privilege Manager
• CyberArk Labs : Rançongiciel (ou Ransomware)
• Anatomie de l’attaque par le logiciel Triton
• Logiciels malveillants : mesures pertinentes pour protéger l’infrastructure critique
• Un Pony se cache dans votre jardin secret
• Loki numéro Sept : Le logiciel malveillant Loki continue de dérober vos identifiants