23 février 2017

Adwind cible désormais des entreprises dans plus d’une centaine de pays et territoires

Kaspersky Lab a détecté une nouvelle attaque massive du RAT Adwind.

Kaspersky Lab a détecté une nouvelle attaque massive du RAT Adwind. Ce backdoor multifonction a ainsi été utilisé contre plus de 1 500 entreprises dans au moins une centaine de pays. Divers secteurs d’activité ont été ciblés, notamment le commerce et la distribution (20,1 %), l’architecture et la construction (9,5 %), les transports et la logistique (5,5 %), l’assurance et les services juridiques (5 %) ou encore le conseil (5 %).

Mode opératoire

Les victimes d’Adwind reçoivent des e-mails envoyés au nom de HSBC Advising Service (domaine mail.hsbcnet.hsbc.com) et accompagnés d’un avis de paiement en pièce jointe. Les chercheurs de Kaspersky Lab ont pu retracer l’activité de ce domaine de messagerie jusqu’en 2013.

Les pièces jointes contiennent en réalité un échantillon de malware. Si le destinataire ouvre le fichier ZIP, qui renferme lui-même un fichier JAR, le malware s’auto-installe et tente de communiquer avec son serveur de commande et de contrôle. Cela permet aux auteurs de l’attaque de prendre pratiquement le contrôle total de l’ordinateur infecté et d’y dérober des informations confidentielles.

Pays ciblés

La répartition géographique des utilisateurs attaqués, enregistrés par Kaspersky Security Network (KSN) durant cette période, situe près de la moitié d’entre eux (plus de 40 %) dans les dix pays suivants :

adwind-cible-desormais-des-entreprises

D’après les chercheurs de Kaspersky Lab, étant donné qu’une forte proportion d’entreprises figure parmi les victimes, il se pourrait que les cybercriminels exploitent des listes de diffusion sectorielles pour cibler leurs attaques. Compte tenu du nombre d’incidents détectés, ceux-ci se sont focalisés sur l’ampleur et la portée des attaques plutôt que sur une technologie complexe.

adwind-cible-desormais-des-entreprises2

Historique du malware RAT Adwind

En 2016, Kaspersky Lab signalait des attaques lancées au moyen du RAT (Remote Administration Tool : outil d’administration à distance) Adwind, un malware multiplateforme et multifonction également connu sous les noms AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat, propagé par une même plateforme de type MaaS (Malware as a Service).

L’une des principales originalités du RAT Adwind par rapport à d’autres malwares « commerciaux » tient au fait qu’il est distribué ouvertement sous la forme d’un service payant, où le « client » acquitte une somme pour pouvoir utiliser le programme malveillant.

Selon les résultats de l’enquête menée entre 2013 et 2016, différentes versions du malware Adwind ont été utilisées dans des attaques contre au moins 443 000 particuliers, entreprises et organisations non commerciales à travers le monde.

Afin de vous protéger ainsi que votre entreprise contre cette menace, Kaspersky Lab vous encourage à limiter l’utilisation de Java dans des applications isolées qui ne peuvent fonctionner sans cette plateforme. A l’instar des opérations financières, les applications Java peuvent être isolées par la mise en œuvre de principes de sécurité maximale. Les solutions de Kaspersky Lab offrent un grand nombre de fonctions de contrôle des applications, permettant de définir des règles granulaires pour surveiller et vérifier l’utilisation de programmes spécifiques sur les postes de l’entreprise.

Pour une présentation complète des menaces financières et de leur évolution l’an passé, lisez notre étude Financial Cyberthreats in 2016.

Articles related to Communiqués de presse