En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Développeur Delphi pour de la maintenance
    < 10 000 €
    > En savoir plus
  • Préparation des données de 7 ERP existants en vue de leur migration et intégration dans un nouvel ERP
    Non Communiqué €
    > En savoir plus
  • Création d'un site vitrine pour un centre de bien être
    A déterminer €
    > En savoir plus
GlobalK_Azure _leaderboard

Cyberattaque mondiale : un site web ukrainien est l’une des sources de l’infection, selon Kaspersky

Universign_maitrisez risques signature elec_pave

Les chercheurs de Kaspersky Lab viennent de l’affirmer : l’une des sources d’infection du ransomware qui vise depuis hier de nombreuses entreprises (nommé ExPetr par le spécialiste de la sécurité) est un site web ukrainien consacré à la région Bakhmout.

« Les chercheurs de Kaspersky Lab continuent leur enquête sur l’attaque de ransomware ExPetr. A date, leur plus importante découverte concerne un site web ukrainien pour la région de Bakhmout. Ce site web a été utilisé pour propager le ransomware et son fichier malicieux vers les visiteurs via la méthode du « drive-by-download », indique l’éditeur d’origine russe. L’infection se réalise donc lors de la visite du site Web.

Un fichier malveillant déguisé en mise à jour Windows

« A notre connaissance, aucun exploit spécifique n’a été utilisé pour infecter les victimes. A la place, les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows. Nous continuons d’enquêter sur d’autres sources possibles de propagation et d’autres vecteurs d’attaque », poursuit-il.

Les pistes évoquées précédemment

Les pistes d’infection évoquées jusqu’ici parlaient d’une possible mise à jour corrompue d’un logiciel de comptabilité ukrainien MeDoc. Une piste privilégiée par Microsoft, comme il l’affirme sur l’un de ses blogs. FireEye opte aussi pour cette explication : » Le calendrier d’une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l’attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d’environ 12h12 UTC« . Le centre de surveillance interne de Bitdefender, éditeur roumain, montre aussi que certaines infections ont été déclenchées par la mise à jour compromise de ce logiciel de comptabilité. « Certains de nos clients en Ukraine, chez qui nos solutions ont intercepté l’attaque, montrent clairement que le fichier explorer.exe lance le démarrage du fichier ezvit.exe (le binaire de l’application comptable) qui, à son tour, exécute rundll32.exe avec la DLL (Dynamic Link Library, en français bibliothèque de liens dynamiques) du ransomware en guise de paramètre. » « Cela fait de l’Ukraine le point de départ de la propagation du ransomware à travers les réseaux VPN, des sièges d’entreprises aux autres succursales et filiales« , affirme l’éditeur qui conseille à toutes les entreprises ayant des bureaux en Ukraine « de rester à l’affût et de surveiller les connexions VPN reliant les filiales« . L’éditeur de sécurité souligne toutefois qu’il existe d’autres vecteurs d’infection qu’il étudie en ce moment. Le centre gouvernemental de veille, d’alerte et de réponses aux incidents (CERT) mentionne aussi la possibilité d’une infection par MeDoc, citant Microsoft, ainsi que celle d’une faille dans un format de fichier texte Microsoft RTF. Le virus s’y cacherait dans une pièce jointe par mail  : « Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017-0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant. »

Auteur : Juliette Paoli

Cyberattaque mondiale : un site web ukrainien est l’une des sources de l’infection, selon Kaspersky
Notez cet article

Laisser un commentaire

Webinaire Signature électronique

Les services de signature électronique, cachet serveur et d’horodatage Universign confèrent une dimension juridique à tous types de documents électroniques : valeur légale, intégrité dans le temps, authenticité des auteurs et des signataires.

Assister au webinaire du 30 novembre

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • 2016 -2017 : des attaques par courrier électronique en augmentation de 2 200 %

      Chaque année, le troisième trimestre se révèle une période de recrudescence des messages frauduleux,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper