Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé WannaCry. Afficher tous les messages
Aucun message portant le libellé WannaCry. Afficher tous les messages

mercredi 14 août 2019

Marcus 'MalwareTech' Hutchins échappe à la prison ferme



Marcus 'MalwareTech' Hutchins échappe à la prison ferme

Sécurité : Les poursuites judiciaires américaines contre le chercheur en sécurité qui a contribué à enrayer l'épidémie de rançongiciel WannaCry prennent fin.

Marcus 'MalwareTech' Hutchins, chercheur en sécurité qui a contribué à enrayer l'épidémie de rançongiciel WannaCry, a été condamné aujourd'hui aux États-Unis à une peine déjà purgée et un an de liberté surveillée.
L’analyste des programmes malveillants né au Royaume-Uni évite les peines de prison dans son affaire, le juge ayant estimé que l’accusé présentait "trop ​​de points positifs." La clémence de la justice fait référence au rôle joué par Hutchins dans l’épidémie de ransomware WannaCry et à son travail en tant qu’analyste des logiciels malveillants.
Le juge J. P. Stadmueller avait une décision difficile à prendre et aurait envisagé une grâce. Cependant, les tribunaux n’ont pas ce pouvoir et cette option est laissée au pouvoir exécutif. Après l'audience de détermination de la peine, les avocats de Hutchins ont déclaré qu'ils l'envisageraient.
Au tribunal, Hutchins a de nouveau présenté ses excuses aux victimes, à la famille et aux amis. Le juge a renoncé à toute amende.
Hutchins sera autorisé à retourner au Royaume-Uni. Les autorités américaines vont maintenant décider s'il lui est interdit de retourner aux États-Unis en raison de son casier judiciaire.

MalwareTech a plaidé coupable en avril

Cette sentence intervient après que Hutchins a plaidé coupable en avril pour deux chefs d'accusations : avoir participé à un complot en vue de créer et de distribuer des logiciels malveillants, et avoir aidé et encouragé sa diffusion.
Les autorités américaines ont arrêté Hutchins à l'aéroport international de Las Vegas en août 2017, alors que le chercheur tentait de rentrer chez lui au Royaume-Uni après avoir participé aux conférences sur la sécurité Black Hat et DEF CON.
Il a été accusé de développer le cheval de Troie bancaire Kronos. De nouvelles accusations ont également été ajoutées ultérieurement pour avoir collaboré au développement du cheval de Troie UPAS KIT.
Hutchins a été accusé d'avoir écrit le code source de ces deux programmes malveillants, qu’un complice identifié dans les documents judiciaires uniquement sous le nom de VinnyK, a ensuite été diffusé et vendu en ligne.

Un cas très controversé

Selon des documents judiciaires, les faits se sont produits entre juillet 2012 et septembre 2015, avant que Hutchins ne commence sa carrière de chercheur en sécurité. Il est considéré comme l'un des professionnels les plus talentueux de la cybersécurité.
L’arrestation de Hutchins a été controversée. Il a fait valoir qu'il avait été arrêté et interrogé alors qu'il était privé de sommeil et sous influence, et que les agents du FBI l'avaient induit en erreur sur les véritables intentions de l'interrogatoire.
Ses avocats ont également affirmé que les actes de Hutchins avaient eu lieu alors qu'il était encore mineur et en dehors du délai de prescription habituel de cinq ans.
L'accusation a réagi en avançant de nouvelles accusations, notamment pour avoir menti au FBI, que de nombreux experts juridiques ont jugé ridicules à l'époque.

Soutien de la communauté de cybersécurité

Le mémorandum de peine de l'accusation n'inclut pas de recommandation de peine. Celle-ci qui a été soumise en tant que document séparé et scellé.
Le mémorandum de peine de Hutchins, l'argument de ses avocats en faveur d'une peine plus légère, est également sous scellé. Le document inclut des détails sensibles qui sont pertinents pour d'autres enquêtes, liées aux dernières années où Hutchins a poursuivi des cybercriminels.
De nombreux membres de la communauté de la cybersécurité ont exprimé leur soutien en faveur de Hutchins, affirmant que le tribunal devrait faire preuve de retenue à son égard en raison de ses années de travail avec les autorités.

REF.:

 

jeudi 30 août 2018

Virus : Attaque contre TSMC ,circulez, y’a rien à voir ?



Attaque contre TSMC : Circulez, y’a rien à voir ?


 

cpu, WannaCry, virus, iPhone, TSMC, Hackers
 
Sécurité : Le fondeur TSMC a annoncé un retour à la normale de sa chaîne de production, affectée par une attaque informatique. Producteur de processeurs pour de nombreux acteurs et constructeurs, dont Apple, TSMC est aujourd’hui une cible de choix pour les cybercriminels
Mise à jour le 06/08 à 16h30 : Lors d'une conference de presse, les dirigeants de TSMC ont donné un peu plus de détails sur l'attaque. Comme le rapporte Zdnet.com, le virus en question était une variante de WannaCry, qui se serait activée suite à l'installation d'un logiciel n'ayant pas été vérifié. De nombreux postes opérationnels utilisés par la chaine de fabrication de TSMC utilisent encore Windows 7 comme système d'exploitation et ne disposent pas du correctif permettant de bloquer la propagation du virus.
TSMC, tiré d’affaire ? C’est ce que laisse entendre le dernier communiqué publié par le fondeur, qui annonce avoir repris le contrôle de sa chaîne de production affectée par « un virus » comme l’avait annoncé la société dans un communiqué publié hier. L’information avait été initialement publiée par l'agence Bloomberg, qui dans un article publié vendredi faisait savoir qu’un virus avait infecté plusieurs systèmes informatiques de TSMC et avait bloqué la chaîne de production de la société taïwanaise. Selon la directrice du groupe, c'est la première fois qu'une attaque informatique vient directement affecter les capacités de production de la société.

Dans un communiqué publié hier, TSMC confirme l’information de Bloomberg et explique que « 80% des outils de l’entreprise ont pu être rétablis » à la mi-journée, et que la société espère un retour à la normale complet dans la journée de lundi.
TSMC ne donne pas beaucoup de détails sur la nature exacte de l’attaque ayant affecté ses systèmes. La société se contente de designer « un virus » comme l’origine de l’attaque. TSMC blâme « une mauvaise manipulation ayant eu lieu pendant l’installation d’un nouvel outil logiciel, qui a permis à un outil de se répandre dans le système informatique une fois l’outil connecté au système. »
Pas de précision sur le type de virus en question ni sur les dégâts que celui-ci tentait de causer (vol, espionnage ou destruction de données) : TSMC préfère communiquer sur le fait que le problème est réglé et que le cours normal des opérations est en train de reprendre.
TSMC a pourtant des raisons de s’inquiéter. Les derniers mois ont montré une recrudescence des attaques informatiques visant la chaîne d’approvisionnement des constructeurs plutôt que les utilisateurs ou les terminaux.
On peut ainsi rappeler le cas de CCleaner, dont l’utilitaire de désinfection avait été victime d’une mise à jour malveillante modifiée par des cybercriminels afin de diffuser des malwares sur des systèmes informatiques appartenant à plusieurs acteurs du secteur informatique.
TSMC fournit également de nombreux acteurs en puces électroniques : Apple est souvent cité parmi ses clients, mais c’est aussi le cas d’ATI ou Nvidia qui se fournissent chez TSMC pour construire leurs produits. Le système informatique et la chaîne de production de TSMC sont donc une cible de choix pour les cybercriminels qui chercheraient à toucher ces différentes sociétés en visant le point commun entre ces entités.

A lire aussi :

iPhone : les puces de nouvelle génération 7 nm entrent en production

 

REF.:

samedi 24 juin 2017

Un nouveau ver exploite sept failles découvertes par la NSA (contre deux seulement pour WannaCry)





23/05/17
Des chercheurs ont repéré un nouveau maliciel (malware) exploitant pas moins de sept failles de la NSA. Chaque brèche avait été décelée par la NSA, puis dévoilée par le groupe de hackers The Shadow Brokers. WannaCry n'exploitait pour sa part que deux de ces bugs.



Le nouveau ver a été découvert en premier lieu par Miroslav Stampar, un membre du CERT (computer emergency response team) croate. Les plus anciennes traces du virus remontent au 3 mai déjà, selon l'expert en cyber-sécurité sur Github. Stampar a découvert Eternalrocks (comme il s'appelle) au moyen d'un 'honeypot' (pot de miel ou piège à pirates) Windows 7. Un honeypot est un système informatique rendu sciemment vulnérable et surveillé, afin d'intercepter et d'analyser de nouvelles menaces.
EternalRocks utilise ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY pour infecter de nouveaux ordinateurs. SMBTOUCH et ARCHITOUCH sont, elles, exploitées pour rechercher de nouvelles victimes, et DOUBLEPULSAR pour se propager vers d'autres machines. Ces sept failles avaient été décelées par la NSA américaine. WannaCry, le rançongiciel qui a fait dernièrement plus de 240.000 victimes, n'exploitait pour sa part qu'ETERNALBLUE et DOUBLEPULSAR.
Contrairement à WannaCry, ce maliciel passe provisoirement inaperçu aux yeux des utilisateurs. Dans un premier temps, EternalRocks télécharge le navigateur Tor pour établir une connexion privée avec les serveurs cachés du ver. Ce n'est que le lendemain que l'infection commence à se propager. Cela a probablement pour but de mettre les experts en cyber-sécurité sur une mauvaise piste, étant donné que rares sont ceux qui attendent un jour complet une réponse du serveur caché. Dans une autre tentative de mystifier les experts, le maliciel s'appelle lui-même aussi WannaCry.
Provisoirement, le ver se propage en grand secret, sans entreprendre d'action. On ne sait de la sorte pas combien d'ordinateurs sont déjà infectés. Stampar met toutefois en garde contre le fait qu'EternalRocks peut être activé à tout moment, afin d'acheminer des maliciels sur tout système contaminé. Plus vite l'utilisateur met à jour son ordinateur au moyen des plus récents correctifs, mieux c'est donc.

REF.:

samedi 20 mai 2017

WannaCry Ransomware Decryption Tool publié; Débloquez les fichiers sans payer Ransom:




Jeudi 18 mai 2017 Swati Khandelwal


La video !Si votre PC a été infecté par WannaCry - le système de ransomware qui a causé des ravages dans le monde vendredi dernier - vous pourriez avoir de la chance de récupérer vos fichiers verrouillés sans payer la rançon de 300 $ aux cybercriminels.
Adrien Guinet, chercheur français en sécurité de Quarkslab, a découvert un moyen de récupérer gratuitement les clés de cryptage secrètes utilisées par WannaCry ransomware, qui fonctionnent sur les systèmes d'exploitation Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008.WannaCry Ransomware Clés de décryptage(télécharger le )
Le système de cryptage de WannaCry fonctionne en générant une paire de clés sur l'ordinateur de la victime qui s'appuient sur des nombres premiers, une clé «publique» et une clé «privée» pour chiffrer et déchiffrer les fichiers du système respectivement.
Pour empêcher la victime d'accéder à la clé privée et de décrypter les fichiers verrouillés lui-même, WannaCry efface la clé du système, ne laissant aucun choix aux victimes pour récupérer la clé de décryptage, sauf en payant la rançon à l'attaquant.
Mais voici le kicker: WannaCry "n'efface pas les nombres premiers de la mémoire avant de libérer la mémoire associée", explique Guinet.
Sur la base de cette découverte, Guinet a publié un outil de décryptage WannaCry ransomware, appelé WannaKey, qui essaie essentiellement de récupérer les deux nombres premiers, utilisés dans la formule pour générer des clés de cryptage à partir de la mémoire, et fonctionne uniquement sur Windows XP.
Remarque: ci-dessous j'ai également mentionné un autre outil, baptisé WanaKiwi, qui fonctionne pour Windows XP vers Windows 7.
"Il le fait en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée". Dit Guinet
Donc, cela signifie que cette méthode ne fonctionnera que si:

    
L'ordinateur affecté n'a pas été redémarré après avoir été infecté.
    
La mémoire associée n'a pas été attribuée et effacée par un autre processus.
"Pour fonctionner, votre ordinateur ne doit pas être redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour ce travail (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas!", Déclare Guinet.
"Ce n'est pas vraiment une erreur des auteurs de ransomware, car ils utilisent correctement l'API Windows Crypto."
Alors que WannaKey ne tire que les nombres premiers de la mémoire de l'ordinateur concerné, l'outil ne peut être utilisé que par ceux qui peuvent utiliser ces nombres premiers pour générer la clé de décryptage manuellement pour décrypter les fichiers de leur PC infectés par WannaCry.
WanaKiwi: WannaCry Ransomware outil de décryptage
Les bonnes nouvelles sont qu'un autre chercheur en sécurité, Benjamin Delpy, a développé un outil facile à utiliser appelé "WanaKiwi", basé sur la découverte de Guinet, qui simplifie tout le processus de décryptage de fichiers infectés par WannaCry.
Toutes les victimes doivent le faire pour télécharger l'outil WanaKiwi de Github et l'exécuter sur leur ordinateur Windows affecté à l'aide de la ligne de commande (cmd).
WanaKiwi travaille sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008, a confirmé Matt Suiche de la société de sécurité Comae Technologies, qui a également fourni des démonstrations montrant comment utiliser WanaKiwi pour décrypter vos fichiers.
Bien que l'outil ne fonctionnera pas pour chaque utilisateur en raison de ses dépendances, il est toujours un bon espoir pour les victimes de WannaCry de récupérer leurs fichiers verrouillés gratuitement, même de Windows XP, la version vieillissante, largement non prise en charge du système d'exploitation de Microsoft.



REF.: