Actu
Malware Rumbertik comment s’en protéger par Charles Rami, responsable technique Proofpoint
mai 2015 par Charles Rami, responsable technique Proofpoint
Suite à la découverte du malware Rumbertik par les équipes de Cisco, le commentaire de Charles Rami, responsable technique Proofpoint.
A) Ce qu’il fait
Rombertik est un spyware de navigateur polyvalent ; c’est également un malware conçu pour pirater les transactions du navigateur et lire des informations d’identification telles que les combinaisons noms d’utilisateurs/mots de passe de messagerie, de comptes bancaire ou d’autres systèmes, et de renvoyer ces informations d’identification au serveur des attaquants
B) Pourquoi est-il unique ? / Pourquoi lui accorder autant d’attention ?
Les malwares sont de plus en plus conçus pour éviter la détection - pour observer son environnement et ne pas se déclencher s’il se retrouve au sein d’un système de détection automatisé, comme un sandbox (bac à sable). Rombertik va un cran plus loin, en détruisant activement le Master Boot Record (MBR) du disque dur du poste sur lequel il réside s’il estime qu’il est inspecté par une solution de défense. Cela rappelle vaguement Mission Impossible et le célèbre “cet enregistrement s’autodétruira dans 20 secondes”.
C) Pourquoi se protéger ?
Il suffit de relire les points A et B : non seulement Rombertik vole les accès à vos systèmes, mais si ses mesures d’autodestruction sont déclenchées par inadvertance, il ne laissera que des ordinateurs hors services dans son sillage.
D) Comment se protéger ?
Etant donné que Rombertik est très sensible à la traditionnelle sandboxing réactive, il est crucial d’utiliser des systèmes de défense modernes - prédictifs. Des systèmes qui n’attendent pas qu’un utilisateur clique pour déclencher un téléchargement potentiel de Rombertik. De plus, comme le malware peut être expédié via de multiples vecteurs - comme Dyre, via des URL ou des fichiers .doc ou .zip/exe etc. - il est crucial d’utiliser des systèmes qui examinent l’ensemble chaîne destructrice, et bloquent l’accès des utilisateurs aux URL et pièces jointes envoyées par emails avant ceux-ci ne cliquent dessus. Enfin, les aspects « autodestruction » de Rombertik état susceptibles d’être déclenchés par les technologies telles que les antivirus, il est crucial que les entreprises utilisent des systèmes automatisés de réponse aux menaces - des systèmes qui peuvent localiser et bloquer l’exfiltration de données par Rombertik - sans - déclencher d’action sur le PC, et alerter les équipes de sécurité pour répondre rapidement aux dommages pouvant être causés.
