ALERTE : Campagne de ransomware JAFF par email (14.05.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Campagne de ransomware JAFF par email (14.05.17)

Messagede pierre » 16 Mai 2017, 15:41

ALERTE : Campagne de messages électroniques non sollicités de type Jaff (14 mai 2017)

Version initiale de l'alerte
14 mai 2017
Cloture de l'alerte
27 juin 2017


1 - Risque(s)
Installation et propagation d'un logiciel malveillant de type rançongiciel, voire, à terme, d'autres logiciels malveillants.

2 - Vecteurs d'infection
Le vecteur d'infection initial est un courriel avec une pièce jointe malveillante de type PDF.

3 - Systèmes affectés
Tous les systèmes d'exploitation Windows peuvent être victimes de ce logiciel malveillant.

4 - Résumé
Depuis le 11 mai 2017, il est observé une nouvelle campagne de courriels malveillants contenant des pièces jointes au format PDF.

Ce PDF contient un document embarqué au format DOCM contenant lui-même une macro malveillante lançant le téléchargement puis l'exécution du ransomware (rançongiciel) Jaff.

Dans le cadre de cette campagne, et d'après les échantillons que l'Agence nationale de la sécurité des systèmes d'information a observés, les URLs de téléchargement du rançongiciel Jaff se terminent avec les motifs (patterns) suivants :

/f87346b
/77g643

Ces motifs peuvent donc être utilisés comme méthode de détection et/ou de blocage, dans la mesure des capacités techniques disponibles.

Jaff a été découvert par le chercheur "S!Ri" (pour les plus anciens d'entre nous, se souvenir, par exemple, de l'un de ses outils les plus célèbres : SmitFraudFix)

Par ailleurs, plusieurs éditeurs ont déjà publié des indicateurs de compromission qui peuvent être utilisés afin de détecter Jaff.

Malwarebytes, en version premium, empêche Jaff et les machines équipées de Malwarebytes Premium n'ont pas été compromises.

Jaff n'a rien à voir avec l'autre attaque mondiale concomitante appelée WanaCrypt0r ( viewtopic.php?f=173&t=31988 )

5 - Contournement provisoire

Mesures préventives
On ne le répètera jamais assez, mais toujours se convaincre qu'une pièce jointe à un email est, avant tout, un risque majeure à dramatique.

Ne jamais ouvrir une pièce jointe d'un email. Ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes.

Ne jamais ouvrir de messages électroniques de provenance inconnue, d'apparence inhabituelle ou trop connue, soupçonné d'être frauduleux. Vous devez "sentir", à la simple lecture du titre du message, qu'il s'agit d'une attaque. Toujours fermer totalement le volet de visualisation des messages (le fermer TOTALEMENT, pas simplement le réduire) afin de ne jamais courir le risque qu'un message s'ouvre tandis que vous vous promenez dans la liste des messages reçus.

Toujours maintenir à jour le système d'exploitation et toutes les applications, en particulier tout ce qui communique sur le Web.

L'Agence nationale de la sécurité des systèmes d'information recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\

Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
UserProfile\AppData
SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

L'Agence nationale de la sécurité des systèmes d'information recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe (Polymorphisme (Virus polymorphe)), les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier (soumission aux antivirus : toutes les données de contact pour 80 antivirus : assiste.com/Soumettre_aux_Antivirus/index.html).

Enfin, l'Agence nationale de la sécurité des systèmes d'information, comme assiste.com, recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées et qu'elles sont exploitables. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives
Si le code malveillant est découvert sur vos systèmes, déconnectez immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Alertez le responsable sécurité ou le service informatique au plus tôt.

Le temps de revenir à une situation normale, positionner les permissions sur les dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage.

Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Bloquez, sur le serveur mandataire, l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site.

Rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs (encore une fois, le titre du message, l'adresse email de l'expéditeur et la présence d'une pièce jointe sont les critères de suppression, sans ouvrir).

Réinstallez complètement le poste de travail et restaurez les données à partir d'une sauvegarde réputée saine.

En cas d'existence de profils itinérants, supprimez la copie, côté serveur, de ces profils, afin de prévenir la propagation des codes malveillants par ce biais.

Les fichiers chiffrés peuvent être conservés par la victime au cas où, dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique Jaff constaté sera considéré significatif.

6 - Documentation
Indicateurs de compromission identifiés par l'éditeur Talos :
https://alln-extcloud-storage.cisco.com ... unique.txt

Clés et condensats, par S!Ri
https://twitter.com/siri_urz
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de ransomware JAFF par email (14.05.17

Messagede pierre » 27 Juin 2017, 20:42

Cloture de l'alerte
27 juin 2017
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 58 invités