De nouvelles frontières s’ouvrent en matière de cyberattaques sur les ordinateurs. Aujourd’hui, nous effectuons de multiples opérations avec des ordinateurs et nous contrôlons également notre argent et nos bitcoins, de sorte que la surface d’attaque est beaucoup plus importante qu’il y a quelques années. Cela signifie que les attaques sur les réseaux informatiques peuvent toujours rapporter plus d’argent aux pirates. Pensez au vol de données, au ransomware, à la fishing, à l’accès illégal, etc.
Ce type d’attaque est également très important pour tous ceux qui sont impliqués dans la sécurité de Bitcoin. En fait, vous disposez souvent d’ordinateurs dédiés à la gestion des portefeuilles Bitcoin, qui gèrent ensuite les clés ou affichent les soldes. Ces ordinateurs sont souvent offline, mais cela n’épargne pas toujours (comme nous le verrons dans l’article) l’ordinateur de certains types d’attaques informatiques.
Les chercheurs de l’ESET ont découvert un cadre de cyber-espionnage jusqu’alors non signalé que ont nommé Ramsay et qui est adapté à la collecte et à l’exfiltration de documents sensibles et est capable d’opérer au sein de réseaux aériens (airgapped systems). En fait aujourd’hui, on parle de Ramsay, une Toolkit d’espionnage informatique conçue pour attaquer les ordinateurs ou les réseaux qui sont “air-gapped”, c’est-à-dire isolés du réseau Internet.
Le malware Ramsay vise donc les ordinateurs ou les réseaux informatiques isolés d’Internet. Les auteurs du malware ont créé une technique qui lui permet d’atteindre les ordinateurs sans connexion et d’obtenir des données.
Mais qu’est-ce qu’un ordinateur hors ligne ou air-gapped?
Il s’agit d’un ordinateur qui est déconnecté du réseau afin d’être le mieux protégé contre les cyber-risques. Il s’agit d’une technique utilisée notamment pour les ordinateurs qui contiennent des informations sensibles, des données d’une importance particulière ou un accès à des biens.
Comme le système est hors ligne, cela réduit exponentiellement le risque qu’un pirate informatique compromette les machines en question en y accédant par l’internet.
Les pirates qui ont créé Ramsay ont cependant décidé d’essayer de surmonter cette forme de protection en équipant leurs logiciels malveillants d’une série d’outils qui leur permettent d’être efficaces même dans une situation où leurs cibles ont été complètement isolées du réseau.
Pour ce faire, le vecteur d’attaque choisi par les cybercriminels est l’utilisation de mémoires amovibles (clés USB et disques externes) que Ramsay utilise à la fois pour se propager d’une machine à l’autre et pour obtenir des données volées.
Comment ce malware se répand?
En ce qui concerne la diffusion, Ramsay exploite un schéma classique qui tire parti d’une vulnérabilité de Word (CVE-2017-11882) pour toucher la première cible au sein du réseau. Le logiciel malveillant injecte ensuite une copie de son code dans tous les fichiers exécutables portables (PE) qu’il peut atteindre dans les lecteurs de mémoire amovibles.
La stratégie utilisée par le malware, est basée sur le fait que tôt ou tard une des unités de mémoire sera connectée à l’ordinateur isolé lui permettant d’être infecté. Cela est probablement dû au fait que pour un ordinateur air-gapped, l’unité de mémoire externe est le seul moyen d’échanger des données à l’intérieur et à l’extérieur du système.
La même méthode est utilisée pour obtenir les données. Les informations considérées comme sensibles, qui ont généralement des formats tels que pdf, doc, excel ou tar ou des archives zip, sont stockées dans une section cachée du lecteur de mémoire, en attendant qu’un logiciel malveillant contenant les données volées soit transmis à un ordinateur ayant accès à Internet.
La raison d’être du malware n’est pas encore tout à fait claire, mais la description ci-dessus est l’hypothèse la plus crédible concernant son éventuel fonctionnement sur les systèmes Windows (analysé par eset).
Comment se protéger ?
Dans le contexte des cyber-attaques possibles avec les moyens techniques actuels, nous devons être encore plus prudents. Pour gérer nos portefeuilles Bitcoin, par exemple, il est préférable d’utiliser le système d’exploitation Linux et les portefeuilles hardware. Il est conseillé de faire des sauvegardes régulières et fréquentes de vos données sensibles et il est important de mettre en place des règles précises pour les procédures de sécurité informatique au sein de l’entreprise. Vous pourriez faire un résumé des règles de base à suivre :
- l’utilisation d’un gestionnaire de mots de passe crypté pour le stockage de mots de passe;
- la création de mots de passe complexes d’une longueur minimale de 12 caractères pour tous les services utilisés;
- une sauvegarde quotidienne des données;
- Systèmes anti-virus sur tous les ordinateurs à tenir à jour;
- l’ouverture des fichiers uniquement lorsqu’ils sont scannés par un logiciel de contrôle et uniquement s’ils proviennent d’une source sûre;
- l’utilisation du cryptage pour toutes les communications contenant des données importantes;
Cependant, les mesures de protection de votre système informatique ne sont jamais suffisantes et la prudence est la chose la plus importante à faire pour améliorer le degré de sécurité de vos données importantes. J’espère que cet article vous a été utile et je reste à votre disposition pour toute clarification, question ou contact.
