En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
Nominations
agenda
Agenda
Solutions IT
  • 10/05/2016
    Réussir son référencement naturel et payant

    Une formation proposée par l'Echangeur PME. Avez-vous le référencement que vous méritez ? 50 dernières…

    en détail En détail...
  • 03/05/2016
    Le crowdfunding : mode d’emploi pour financer vos projets

    Une formation proposée par l'Echangeur PME. Distinguez les différentes formes du financement participatif, ou crowdfunding, et…

    en détail En détail...
Appels d'offres en cours
Shoretel_Webinaire Communications unifiées_leaderboard_V2

W32/Georbot un nouveau botnet mutant, capable de se connecter aux machines sans exploiter de failles

arcaneogroup_topdsi_pave

L'éditeur de solutions de sécurité ESET lance une alerte concernant un nouveau botnet. Au début de cette année, les chercheurs d'ESET, avaient découvert un botnet ayant des fonctionnalités de communication uniques. En plus d'autres activités, le botnet en question tente de voler des documents et certificats, peut créer des enregistrements audio et vidéo et scanner tout un réseau local à la recherche d'informations. Une autre caractéristique surprenante est qu'il recherche des fichiers de configuration de Bureau à distance, ce qui permet aux pirates de voler des informations sur des machines distantes sans exploiter de failles. Cette nouvell  menace s'appuie sur un site gouvernemental Georgien pour mettre à jour ses informations de C&C (Command and Control), c'est pourquoi les chercheurs d'ESET pensent qu'initialement W32/Georbot ciblait les ordinateurs de ce pays. Plus inquiétant encore, ce malware est toujours en développement car ESET a d'ores et déjà identifié des variantes récentes ,notamment une datant du 20 mars et qu'il commence à se répandre en dehors de la Georgie, en France notamment.

Pays                   Taux de pénétration

Georgie               70,45 %

État- Unis             5,07 %

Allemagne            3,88 %

Russie                 3,58 %

Canada                1,49 %

Ukraine               1,49 %

France                1,19 %

Autres                 12,83 %

W32/Georbot a la capacité de se mettre à jour pour se métamorphoser en une nouvelle version, ce qui lui permet de ne pas être détecté par les scanners anti-malware. Ce botnet peut également se mettre en repli s'il n'arrive pas à atteindre le serveur de commande et dès lors se connecter à une page Internet spéciale hébergée sur un serveur appartenant au gouvernement Georgien. « Ceci n'implique pas nécessairement que le gouvernement Georgien soit en cause. La plupart du temps, les propriétaires de sites web ne savent pas que leurs systèmes sont compromis » indique Pierre-Marc Bureau, Manager d'ESET Security Intelligence. Ce dernier ajoute « Il est également important de noter que le Ministère de la Justice Georgien et le CERT local sont au courant de la situation et collaborent avec ESET sur ce sujet ». Sur l'ensemble des infections recencées, 70% étaient localisées en Georgie, suivi par les Etats-Unis, l'Allemagne et la Russie, la France faisant également partie du top 7 des pays concernés.

Les chercheurs d'ESET ont également réussi à accéder au panneau de contrôle du botnet, permettant ainsi d'obtenir beaucoup de détails sur le nombre d'ordinateurs touchés, leur localisation et les commandes possibles. L'information la plus intéressante trouvée est la liste des mots-clés ciblés dans les documents des systèmes infectés. Parmi les nombreux termes anglais figuraient notamment « ministère, service, secret, agent, USA, Russie, FBI, CIA, arme, FSB, KGB, téléphone, numéro. »

« La fonction d'enregistrement vidéo via la webcam, la prise de capture d'écrans et le lancement d'attaques DDoS (attaques par deni de service) ont été utilisés à plusieurs reprises » précise P-M Bureau. Le fait que ce botnet utilise un site Georgien pour mettre à jour ses informations de contrôle et de commande, et qu'il utilise probablement le même site pour se répandre, indique que la population Georgienne est sa cible principale. Malgré son pouvoir de nuisance important, le niveau de sophistication de ce botnet n'est pas suffisant pour penser qu'il ait pu être à l'initiative d'un état. Dans ce cas de figure, elle aurait été probablement plus professionnelle et plus discrète, selon les chercheurs d'ESET. L'hypothèse la plus probable est que W32/Georbot a été créé par un groupe de cybercriminels à la recherche d'informations sensibles afin de les revendre à d'autres organisations.

« La cybercriminalité tend à se professionnaliser et à devenir plus ciblée. W32/Stuxnet et W32/Duqu sont de bons exemples de menaces de haut-niveau ayant des finalités bien précises. En revanche, même si ce malware semble moins sophistiqué, W32/Georbot intègre de nouvelles méthodes et fonctionnalités originales pour accéder au cœur de ce que recherchent ses créateurs. Dans le cas de W32/Georbot, c'est la recherche d'informations spécifiques, d'accès aux systèmes et de fichiers de configuration de 'Bureau à distance'» conclu Righard Zwienenberg, Directeur de recherche chez ESET.

Auteur : Frédéric Mazué

Une offre globale pour la gestion documentaire de l’ entreprise

AM-Trust offre une offre globale pour l’entreprise : Solutions de démat, Externalisation de l’envoi du courrier sortant, Factures dématérialisées, Envoi de mailing, etc.

Plus d’info

Sondage

Une fuite massive des données confidentielles de votre entreprise est-elle à craindre?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • Baromètre

    Logiciels, conseils et services +2,6% de croissance en 2016   Le Syntec Numérique, syndicat professionnel…

  • Cybersecurity Forum 2016

    « Act Now, Tomorrow will be too late »   La première édition du Cybersecurity…

Témoignages
Juridique
  • Accord “Privacy Shield“ : les CNIL européennes se prononcent

    Après avoir obtenu l’ensemble des documents relatifs au nouvel accord transatlantique, le G29 a publié…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Machine Learning et Deep Learning : vers une redéfinition de la cybersécurité par l’intelligence

    Laurent Heslault, directeur des stratégies de sécurité chez Symantec, s’est penché sur le machine Learning…

    > En savoir plus...
Etudes/Enquêtes
  • Service de gestion des impressions : les attentes des entreprises

    Une étude Xerox menée par IDC sur la prestation de services et de la connaissance…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
CPF 160x600_v3
livres blancs
Les Livres
Blancs
  • Une étape importante est d’envisager le self-service en tant qu’engagement durable à long terme vis-à-vis…

    > Voir le livre
  • Espaces publics, Sièges sociaux… Comment garantir à vos visiteurs une connectivité indoor optimale ? Aujourd’hui…

    > Voir le livre
Paessler_IT Universe_skyscraper
x
Newsletter Solutions numériques

Restez informé. L’abonnement à
la newsletter est gratuit.

Inscrivez-vous