Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab s’associe à INTERPOL, aux forces de l’ordre et à des partenaires industriels pour démanteler le botnet Simda

avril 2015 par Kaspersky Lab

Dans le cadre d’une opération coordonnée par l’INTERPOL Global Complex for Innovation à Singapour, un groupe de sociétés d’informatique de premier plan, parmi lesquelles Kaspersky Lab, Microsoft, Trend Micro et l’Institut de Cyber-défense du Japon, en collaboration avec des organismes d’application de la loi, ont démantelé le botnet criminel Simda – un réseau comptant plusieurs milliers d’ordinateurs infectés dans le monde.

Dans une série d’actions simultanées le jeudi 9 avril, 10 serveurs de commande et de contrôle ont été saisis aux Pays-Bas, et des serveurs ont été fermés aux Etats-Unis, en Russie, au Luxembourg et en Pologne. L’opération a impliqué des membres de le National High Tech Crime Unit (NHTCU) des Pays-Bas, du Federal Investigation Bureau (FBI) aux Etats-Unis, de la division Nouvelles Technologies de la police Grand-Ducale au Luxembourg, et du département du cyber-crime « K » du ministère de l’intérieur russe, soutenu par le bureau central national d’INTERPOL à Moscou.

Cela devrait considérablement gêner le fonctionnement du botnet. Les coûts et les risques seront accrus pour les cybercriminels ayant l’intention de continuer leurs activités illicites et ils ne pourront plus se servir des ordinateurs des victimes pour participer à des opérations malveillantes.

• Simda est un malware reposant sur le modèle « payez-pour-installer » (pay-per-install), utilisé pour distribuer des logiciels illégaux et différents types de malwares, notamment ceux capables de voler des certificats financiers. Le modèle pay-per-install permet aux cybercriminels de gagner de l’argent en vendant l’accès aux PC infectés à d’autres criminels qui y installent alors des programmes supplémentaires.

• Simda se propage via des sites internet infectés redirigeant vers des kits d’exploitation. Les attaquants compromettent des sites/ serveurs internet légaux afin que les pages internet parcourues par les visiteurs incluent un code malveillant. Lorsque les utilisateurs visitent ces pages, le code malveillant charge furtivement du contenu depuis le site d’exploitation et infecte les ordinateurs non mis à jour.

• Le botnet Simda a été observé dans plus de 190 pays parmi lesquels les Etats-Unis, le Royaume-Uni, la Russie, le Canada et la Turquie, qui ont été les plus infectés.

• Le bot aurait infecté 770 000 ordinateurs de par le monde, la vaste majorité des victimes étant située aux Etats-Unis (plus de 90 000 nouvelles infections depuis le début de 2015).

• Actif pendant des années, Simda a été sans cesse amélioré afin d’exploiter toutes les vulnérabilités possibles, avec la génération et la distribution jusqu’à plusieurs fois par jour de versions nouvelles et plus difficiles à détecter. La collection de virus de Kaspersky Lab contient actuellement plus de 260 000 fichiers exécutables appartenant à différentes versions du malware Simda.

Des informations et renseignements sont maintenant en train d’être rassemblés afin d’identifier ceux qui se cachent derrière le botnet Simda ; les personnes qui ont appliqué aux activités criminelles le modèle d’entreprise consistant à faire payer des partenaires affiliés.

« Le succès de cette opération rappelle l’importance pour les forces de l’ordre nationale et internationales ainsi que les industriels privés de combiner leurs efforts pour mieux lutter contre la menace mondiale que constitue le cyber crime, » a déclaré Sanjay Virmani, Directeur du Centre du crime numérique d’INTERPOL. « L’opération a porté des coups significatifs au botnet Simda. INTERPOL va continuer à assister les pays membres dans la protection de leurs citoyens contre les cybercriminels et dans l’identification des autres menaces émergentes ».

« Les botnets sont des réseaux très étendus géographiquement et il est en général difficile de les démanteler. C’est pour cela qu’un effort collaboratif des secteurs publics et privés est crucial – chacun apporte une contribution majeure au projet commun. Dans ce cas-ci, le rôle de Kaspersky Lab a été d’offrir une analyse technique du bot, de collecter la télémétrie du botnet depuis le réseau Kaspersky Security Network et de proposer des stratégies de démantèlement, » a ajouté Vitaly Kamluk, Chercheur principal en sécurité chez Kaspersky Lab, et actuellement détaché auprès d’INTERPOL.

En conséquence de l’opération de démantèlement, les serveurs de commande et de contrôle utilisés par les criminels pour communiquer avec les machines infectées ont été fermés. Il est cependant important de noter que certaines infections sont toujours en place. Afin d’aider les victimes à désinfecter leurs PC, Kaspersky Lab a créé un site internet dédié, baptisé CheckIP. Ici, les utilisateurs peuvent déterminer si leur IP a été détectée sur les serveurs de commande et contrôle Simda, ce qui signifierait une éventuelle infection active ou ancienne. Ces adresses IP ont été rendues disponibles en conséquence de l’opération de fermeture des serveurs.

Que l’adresse IP d’un utilisateur soit détectée ne signifie pas nécessairement que le système est infecté – dans certains cas, une adresse IP peut avoir été utilisée par plusieurs ordinateurs sur le même réseau (par exemple, ils ont pu être connectés au même fournisseur de service internet). Il est cependant conseillé de procéder à des vérifications et de scanner le système avec une solution de sécurité complète, notamment le scan Kaspersky Security gratuit ou une version d’essai de Kaspersky Internet Security.




Voir les articles précédents

    

Voir les articles suivants