Les ransomwares s’engouffrent dans la faille zero day de Flash

Pour la première fois, des ransomwares comme Locky ou Cerber utilisent une faille zero day pour infecter leurs victimes. Un cocktail détonnant.

Une raison supplémentaire de mettre à jour son plug-in Flash avec le dernier patch proposé par Adobe. Selon l’éditeur d’outils de sécurité ProofPoint, des codes permettant de tirer profit de la faille zero day récemment découverte dans le greffon multimédia sont distribués dans au moins deux kits d’exploitation, appelés Nucleus et Magnitude. Avec ces kits prêts à l’emploi, les cybercriminels peuvent exploiter la faille Flash pour infecter leurs victimes avec Locky ou Cerber, deux rançongiciels (ou ransomwares). Le premier de ces deux malwares a récemment fait des ravages en France, un des pays les plus touchés par cette menace. Pour se diffuser, ce ransomware a déjà exploité plusieurs techniques : macros Office, mais aussi fichiers Javascript envoyés en pièces jointes.

L’emploi de la vulnérabilité Flash permet aux cybercriminels d’infecter des utilisateurs lors d’une simple visite d’un site Web. Dans l’optique des pirates, cette méthode devrait optimiser le taux d’utilisateurs infectés. Pour Matthieu Bonenfant, directeur du marketing produits de Stormshield (société née de la fusion d’Arkoon et de Netasq et filiale à d’Airbus Defence and Space), « les cybercriminels cherchent d’autres vecteurs pour rentabiliser leurs investissements, les utilisateurs se montrant un peu plus méfiants vis-à-vis des pièces jointes. » Passant par des sites Web légitimes infectés, ou par des sites vérolés vers lesquels les cybercriminels mettent en place des liens de redirection, ces attaques sont aussi beaucoup plus difficiles à détecter.

Zero day + ransomware

Si le kit d’exploitation Nuclear diffuse Locky, Magnitude, lui, prend en charge un autre ransomware, Cerber. Ce malware qui chiffre lui aussi les données de ses victimes, pour mieux les racketter, a la particularité de s’attaquer à de nombreux systèmes d’exploitation (Windows, Linux, MacOS X). « Avec Cerber, on assiste à l’arrivée d’une génération de ransomwares fournis comme un service, explique Matthieu Bonenfant. Même sans expertise technique particulière, des cybercriminels peuvent acheter le malware en ligne et générer leurs propres campagnes d’infection. »

Il s’agit aussi de la première fois que des ransomwares exploitent des failles zero day pour accélérer leur diffusion. « On pourrait assister à une jonction entre une activité très rentable et le marché de la vente de ces failles inconnues », remarque Matthieu Bonenfant. Là où jusqu’à présent, les zero day – qui se vendent entre quelques milliers et quelques dizaines de milliers d’euros – sont plutôt exploités pour les attaques persistantes (ou APT), visant à infiltrer une organisation sur la durée pour lui dérober des données confidentielles.

Cibler les entreprises les plus négligentes ?

bonenfant
Matthieu Bonenfant

Si la vulnérabilité Flash affecte de nombreuses versions de la technologie d’Adobe, les exploits ciblent uniquement les plus anciennes versions du greffon, relève Kevin Epstein, le vice-président du centre sur les menaces de ProofPoint. « Les assaillants ne semblent pas tirer pleinement parti de l’exploit, note-t-il. Comprennent-ils pleinement ce qu’ils ont en main ? Ils limitent par eux-mêmes leur audience cible et on ne sait pas bien pourquoi. » Matthieu Bonenfant avance toutefois une explication assez logique à ce choix a priori surprenant : « on observe souvent deux typologies d’entreprises face aux patch de sécurité. Celles effectuant régulièrement leurs mises à jour ; celles-là présentent en fait peu d’intérêt pour les cybercriminels car ils disposeront de peu de temps pour les cibler. En revanche, celles affichant une dette technique de plusieurs années leur permettent d’évoluer plus longtemps sous le radar, surtout avec des zero day. » Bref, les pirates pourraient avoir sciemment ciblé les anciennes versions de Flash… pour des questions de rentabilité de leurs actions.

Comme le note Proofpoint, cette attaque peut prendre des proportions très importantes. D’abord en raison du nombre d’utilisateurs affectés par la faille CVE-2016-1019, qui touche toutes les versions de Flash précédant le patch sorti le 7 avril. Ensuite, parce que Nucleus et Magnitude, s’ils n’ont pas la popularité d’un Anger, n’en restent pas moins largement répandus sur le ‘black market’. Signalons que c’est d’ailleurs via une analyse du kit Magnitude que les chercheurs de ProofPoint, assistés de ceux de FireEye, ont mis au jour la faille CVE-2016-1019.

Cette escalade de la menace s’inscrit dans le cadre d’une montée en puissance des ransomware. Pour Matthieu Bonenfant, grâce à ce phénomène, la solution maison (Stormshield Endpoint Security), qui tente non pas de reconnaître les souches infectieuses mais d’en bloquer les effets (augmentation de privilèges, exécution de code, débordement de mémoire…), trouve d’ailleurs son marché. Des années après sa mise sur le marché. « Auparavant, on vendait surtout cette solution à des entreprises travaillant dans des secteurs sensibles à la sécurité, dit-il. Aujourd’hui, des PME nous sollicitent… après avoir été infectées par un ransomware. »

A lire aussi :

Ransomware Locky : l’AFP touchée, son RSSI témoigne

Ransomware, haro sur le monde hospitalier

Les ransomwares prennent le chemin des écoliers

Crédit photo : Carlos Amarillo / Shutterstock