VEILLE metier du numerique

Prilex, un groupe malveillant reconnu, vend ses nouveaux malwares sophistiqués pour infecter des terminaux de paiement partout dans le monde.

Les experts de Kaspersky ont découvert que le groupe de menaces Prilex, célèbre pour avoir volé des millions de dollars aux banques, a considérablement progressé. Après s’être appliquée à développer ses innovations technologiques et ses stratégies marketing et commerciales, Prilex a fait évoluer ses outils.

Tribune – Œuvrant d’abord comme un simple memory scraper, Prilex est aujourd’hui devenu un malware sophistiqué aux méthodes complexes, prenant pour cible les terminaux de points de vente (PoS). De plus, les agents malveillants opérant derrière cette campagne vendent activement leurs logiciels sur le darknet en tant que Malware-as-a-Service (MaaS), ce qui signifie qu’ils sont désormais entre les mains d’autres cybercriminels, et que le risque pour les entreprises de devenir la cible de ransomwares n’a jamais été aussi grand.

Prilex est un agent malveillant particulièrement établi qui s’attaque au cœur de l’industrie du paiement, en prenant pour cible les distributeurs automatiques de billets (ATM) et les terminaux de point de vente (PoS). Actif depuis 2014, Prilex aurait été à l’origine de l’une des plus grandes attaques de distributeurs automatiques de billets au Brésil. On lui attribue d’avoir cloné plus de 28 000 cartes de crédits et vidé plus de 1 000 distributeurs automatiques de billets appartenant à l’une des grandes banques brésiliennes. Les hackers ont volé la totalité des fonds présents dans les machines, et les dommages causés par cet incident ont été estimés à des millions de dollars.

En 2016, le groupe a concentré l’ensemble de ses attaques sur les systèmes PoS. Depuis, ils ont considérablement amélioré leurs logiciels pour devenir une menace de plus en plus sophistiquée et complexe. Nouveauté parmi d’autres, Prilex mène désormais des attaques dites « GHOST », des transactions frauduleuses utilisant des cryptogrammes, préalablement générées par la carte de la victime lors du processus de paiement en magasin.

C’est généralement l’ingénierie sociale qui permet d’initier le processus d’infection des dispositifs de paiement. Après avoir déterminé une cible, les cybercriminels entrent en contact avec le propriétaire du commerce ou ses employés, et informent ces derniers que le logiciel de caisse doit être mis à jour par un technicien. Plus tard, un faux technicien se rend en personne dans l’entreprise ciblée et infecte les machines avec un logiciel malveillant. Dans un autre scénario, les pirates demandent à la victime d’installer AnyDesk, et d’y donner accès au faux technicien afin qu’il puisse installer le logiciel malveillant à distance.

Avant de lancer leur attaque, les acteurs malveillants effectuent un premier contrôle de la machine, afin de vérifier le nombre de transactions qui ont déjà eu lieu et si cette cible mérite d’être visée. Si c’est le cas, le malware récupère toutes les transactions en cours et modifie leur contenu afin de pouvoir mettre la main sur les détails des cartes bancaires utilisées. Toutes les données de carte ainsi subtilisées sont ensuite enregistrées dans un fichier crypté, transmis au serveur des hackers, leur permettant d’effectuer des transactions par le biais d’un dispositif PoS frauduleux, enregistré au nom d’une fausse entreprise.

Données de carte de crédit saisies, qui seront ensuite communiquées au serveur de l’opérateur.

Ainsi, après avoir attaqué un système PoS, les opérateurs de Prilex obtiennent quotidiennement les données de dizaines, voire de centaines de cartes bancaires. Leurs offensives sont particulièrement redoutables si les machines infectées sont situées dans des centres commerciaux populaires de villes densément peuplées, où le flux quotidien de clients peut atteindre des milliers de personnes.

Le schéma de la chaîne d’infection de Prilex

Au cours de leur enquête, les experts de Kaspersky ont également découvert que le groupe contrôle le cycle de vie du développement de ses logiciels malveillants à l’aide de Subversion, un outil utilisé par des équipes de développement professionnelles. De plus, Prilex possède un soi-disant site officiel où sont mis en vente les kits de leurs logiciels malveillants à d’autres cybercriminels en tant que Malware-as-a-Service. Prilex a déjà vendu plusieurs versions de son malware sur le darknet : en 2019, par exemple, une banque allemande a perdu plus de 1,5 million d’euros dans une attaque similaire à celles de Prilex. Avec le développement de leurs activités MasS, il faut s’attendre à voir des versions hautement sophistiquées et dangereuses du malware PoS se propager dans de nombreux pays, se chiffrant en pertes colossales de plusieurs millions de dollars pour les entreprises touchées.

Les chercheurs de Kaspersky ont également découvert des sites Web et des chats Telegram où acteurs de la menace vendent le logiciel de Prilex. Ces derniers se font passer pour des agents de Prilex, et proposent les dernières versions du malware PoS, dont le prix peut varier entre 3500 et 13000 dollars. Les experts de Kaspersky ne sont pas sûrs que ces interfaces soient réellement gérées par Prilex, car il pourrait s’agir d’imitateurs se faisant passer pour le groupe pour gagner de l’argent grâce à sa notoriété.

Le Kit PoS de Prilex (ou son imitation) est ici vendu pour 3 500 USD

« DANS LES FILMS, NOUS AVONS SOUVENT À FAIRE À DES BRAQUEURS QUI S’INTRODUISENT DANS UNE BANQUE AVEC UNE ARME À LA MAIN, VIDENT LA CAISSE ET FUIENT LES LIEUX UN ÉNORME SAC D’ARGENT SUR L’ÉPAULE. DANS LE MONDE RÉEL LES BRAQUAGES SONT BIEN DIFFÉRENTS. DE NOS JOURS, LES VRAIS CRIMINELS SONT TRÈS FURTIFS : ILS ATTAQUENT GÉNÉRALEMENT À DISTANCE À L’AIDE DE LOGICIELS MALVEILLANTS, SANS AUCUN CONTACT PHYSIQUE AVEC LA BANQUE ET SES EMPLOYÉS. CELA LES REND BEAUCOUP PLUS DIFFICILES À PISTER, ET TANT QUE LES GUICHETS AUTOMATIQUES ET LES TERMINAUX DE PAIEMENT NE SERONT PAS SUFFISAMMENT PROTÉGÉS ET MIS À JOUR, LE NOMBRE D’INCIDENTS PROVOQUÉS PAR DES MENACES EN CONSTANTE ÉVOLUTION NE PEUT QU’AUGMENTER », COMMENTE FABIO ASSOLINI, RESPONSABLE DE L’ÉQUIPE GREAT POUR L’AMÉRIQUE LATINE CHEZ KASPERSKY.

La famille Prilex est détectée sur tous les produits Kaspersky sous les noms HEUR:Trojan.Win32.Prilex et HEUR:Trojan.Win64.Prilex.

Pour en savoir plus sur Prilex, consultez le rapport complet sur Securelist.

Pour se protéger de Prilex, Kaspersky recommande :

• D’utiliser une solution multicouche, offrant une protection optimale afin de fournir le meilleur niveau de sécurité possible pour des appareils de puissance variée, et différents scénarios d’infection.

• Installer des modules de sécurité automatisés dans les dispositifs PoS, comme la solution comprise dans Kaspersky SDK, visant à empêcher les codes malveillants d’altérer les transactions gérées par ces appareils.

• Sécuriser les appareils plus anciens avec une protection adaptée. Les solutions doivent être optimisées pour fonctionner sur les anciennes versions de Windows ainsi que sur les produits Windows les plus récents. Cela garantit à l’entreprise qu’elle bénéficie d’une prise en charge totale de ses appareils de première génération, et lui donne la possibilité de procéder à une mise à jour des outils de protection à tout moment.

• Installez une solution de sécurité qui protège les appareils contre différents vecteurs d’attaque, comme Kaspersky Embedded Systems Security. Si l’appareil a des paramètres système faibles, la solution Kaspersky le protégera quand même avec un scénario de refus appliqué par défaut.

Pour les institutions financières victimes de ce type d’attaque, Kaspersky recommande d’utiliser le Threat Attribution Engine pour aider les équipes de RI à trouver et détecter les fichiers Prilex dans les environnements pris pour cible.

Source : https://www.undernews.fr/

Publié le 14/10/2022

Risques cyber : des pistes pour la protection des entreprises

54 % : c’est la part des entreprises françaises qui auraient fait l’objet d’une cyberattaque en 2021, en constante augmentation ces dernières années.

La numérisation de l’économie engendre de nouveaux risques pour les entreprises, et tout particulièrement le risque cyber.

Consulter le rapport de la direction générale du Trésor : le développement de l’assurance du risque cyber.

Des risques cyber en augmentation et des entreprises peu assurées face à cette menace

La dépendance du tissu économique au numérique a facilité la multiplication de nouveaux risques ayant une origine cyber, en particulier les cyberattaques. La crise sanitaire a encore accéléré cette tendance, à travers l’adoption de nouveaux modes de travail et de consommation.

On constate aujourd’hui un accroissement des cyberattaques que ce soit en volume, en fréquence ou en complexité. Les cyberattaques sont aujourd’hui susceptibles de menacer la survie d’une entreprise. La résilience face au risque cyber constitue donc un enjeu majeur de souveraineté.

Malgré cette situation, ce risque est encore relativement peu assuré. Il ne représente en effet que près de 3 % des cotisations en assurance dommage des professionnels.

Ce constat est le fruit de deux facteurs : une difficulté à appréhender le risque cyber pour les entreprises (en particulier les plus petites) d’une part, et d’autre part des difficultés à estimer ses impacts pour les acteurs de l’assurance, en particulier lors d’incidents de grande ampleur.

Des actions concrètes proposées pour développer les solutions assurantielles et renforcer la prévention du risque cyber

Le rapport propose des actions concrètes et crédibles autour de quatre axes :

Clarifier le cadre juridique de l’assurance du risque cyber

Autour de cet axe plusieurs aspects sont concernés : la clarification des clauses de contrats traditionnels, la diffusion de bonnes pratiques pour la rédaction des contrats, l’amélioration de l’information des assurés sur l’étendue de leurs garanties ou encore l’obligation d’un dépôt de plainte de la victime pour permettre l’assurabilité d’une cyber-rançon.

Favoriser une meilleure mesure du risque cyber

L’objectif est d’avoir le plus de données sur ce risque afin de permettre aux acteurs de mieux prévoir et prendre en compte leur exposition. Pour ce faire, la création d’un observatoire de la menace cyber, ou encore la transmission d’informations entre assureurs au sein d’une plateforme de partage de données dédiées, sont encouragées.

Améliorer le partage de risque entre assurés, assureurs et réassureurs

Ici, plusieurs pistes sont abordées comme la promotion de solutions innovantes dans l’assurance ou le développement de solutions d’auto-assurance.

Accroître les efforts de sensibilisation des entreprises au risque cyber

Dans les préconisations, le rapport propose de développer les coopérations entre acteurs publics et privés sur les territoires pour sensibiliser le tissu économique local, la formation des professionnels de l’assurance, sans oublier la définition de référentiels de sécurité partagés.

Consulter le rapport de la direction générale du Trésor : le développement de l’assurance du risque cyber

Afin de mettre en œuvre rapidement ces orientations, une task force dédiée à l’assurance du risque cyber, associant les acteurs concernés sera mise en place d’ici la fin du mois de septembre.

Source : Ministère de l'économie des finances et de la souveraineté industrielle et économique.

Dernière actualisation : 15/09/2022