Des cyberattaques dangereuses ont été publiées par un groupe de pirates connu sous le nom de The Shadow Brokers. Ces exploits verrouillent vos données pour de bon – pas de rançon, pas de retour.
Mais ce n’est pas tout ce qu’ils font – ils laisseront également derrière eux un parasite qui leur permet de « traîner » à l’intérieur de votre ordinateur, d’en infecter d’autres et de revenir par une porte dérobée.
Ce qui est vraiment effrayant, c’est que ces attaques passent outre les mesures de sécurité traditionnelles de nouvelle génération. Dans 99 % des cas, les chercheurs en sécurité ont constaté que ces menaces contournaient les outils de sécurité.
EternalBlue (la pire attaque de ransomware jamais enregistrée) : En février 2018, EternalBlue a été porté sur tous les systèmes d’exploitation Windows. En exploitant une vulnérabilité dans le protocole Server Message Block (SMB) de Microsoft, EternalBlue a permis au dangereux virus ransomware WannaCry de se propager et d’infecter 230 000 ordinateurs.
EternalChampion et EternalRomance sont deux autres exploits qui ont également été signalés en même temps qu’EternalBlue.
Et puis il y a EternalRocks, également connu sous le nom de MicroBotMassiveNet, qui est un ver informatique qui infecte Microsoft Windows. Il utilise sept exploits qui ont été développés par la NSA et divulgués à leur insu aux pirates informatiques. À titre de comparaison, le ransomware WannaCry n’utilise que deux exploits de la NSA. Les experts nous disent qu’EternalRocks est beaucoup plus dangereux.
EternalRocks installe le réseau anonyme Tor pour dissimuler l’activité Internet. Il télécharge ensuite EternalRocks sur vos ordinateurs. Pour éviter d’être détecté, il se fait appeler WannaCry. Mais contrairement à WannaCry, il n’y a pas de kill switch.
EternalBlue et ces autres exploits utilisent un outil d’implantation de backdoor pour infecter vos systèmes. De plus, EternalRocks est un ver autoreproducteur et laisse la porte dérobée ouverte via DoublePulsar afin que d’autres pirates puissent charger des logiciels malveillants sur votre ordinateur.
Les portes dérobées vous laissent exposés à une multitude de cybermenaces.
Une porte dérobée est un port ou une application malveillante qui donne accès à un serveur ou à un réseau. Elle fournit aux pirates un accès à distance non autorisé à votre réseau en exploitant les procédures de sécurité et d’authentification. Les portes dérobées peuvent être utilisées par les cybercriminels pour accéder à distance à vos ordinateurs.
Les portes dérobées fonctionnent en arrière-plan et sont cachées. Elles ressemblent beaucoup à d’autres virus malveillants et, par conséquent, sont difficiles à détecter.
Une porte dérobée est l’un des types de parasites informatiques les plus dangereux. Elle donne à un criminel la possibilité d’effectuer toutes les actions possibles sur votre ordinateur.
Le pirate peut :
- Espionner ce que vous faites,
- Prendre le contrôle de vos fichiers un utilisateur,
- Installer des logiciels supplémentaires ou des menaces malveillantes,
- Contrôler l’ensemble du système PC de vos organisations,
- Mettre en place un enregistrement des frappes clavier et des captures d’écran,
- Infecter des fichiers,
- Encrypter vos données, et
- Atttaquer d’autres hôtes sur votre réseau.
Plus, le parasite peut fonctionner automatiquement de lui-même et faire ce que le pirate veut.
Une porte dérobée permet non seulement au pirate d’accéder à votre ordinateur et à votre réseau, mais elle lui permet également de revenir et de pénétrer dans votre système encore et encore.
Les portes dérobées sont compliquées à gérer pour les administrateurs système. Dans la plupart des cas, il est très difficile de savoir qui contrôle le parasite. En fait, toutes les portes dérobées sont vraiment difficiles à détecter.
Avant de savoir s’il sera difficile de bloquer l’accès du pirate, les administrateurs système doivent déterminer les méthodes que les pirates utiliseront. Il y a tellement d’exploits maintenant que cela rend cette tâche très difficile, voire impossible.
Plus, certaines de ces portes dérobées ne peuvent pas être détectées en raison de la façon dont elles sont conçues.
Même si votre administrateur change les mots de passe lorsqu’une attaque est découverte, les utilitaires de porte dérobée peuvent être programmés pour donner au pirate un accès répété à votre système.
Ils le font via des ordinateurs de votre système informatique qui ne se connectent pas très souvent au réseau. Comme il semble que personne n’utilise la machine, votre administrateur système ne détecte pas qu’un pirate l’utilise réellement.
Il existe un autre type d’utilitaire backdoor qui permet au pirate de revenir sur le réseau dans un court laps de temps. Ainsi, ils n’ont pas besoin de trouver une vulnérabilité à exploiter pour obtenir un accès. Mais si votre administrateur système les détecte, ils prendront simplement le temps de chercher une autre vulnérabilité. Comme vous pouvez le constater, il peut s’agir d’une bataille constante.
Le craquage de mots de passe est la méthode de piratage de porte dérobée la plus utilisée pour violer la sécurité du réseau.
Le pirate repère vos comptes qui utilisent des mots de passe faibles. Il s’agit de comptes qui ne sont pas utilisés souvent. Le pirate crée un point d’accès en modifiant le mot de passe. Lorsque l’administrateur système recherche les comptes fragiles, ceux qui ont des mots de passe faibles, les mots de passe ont déjà été modifiés ne seront pas visibles.
Les portes dérobées peuvent dégrader la vitesse de votre connexion Internet et les performances de votre système. Elles vous empêchent de les supprimer en se cachant dans des fichiers. De plus, il n’existe pas de fonctions de désinstallation pour les supprimer.
Il existe 5 façons dont les menaces par porte dérobée peuvent s’introduire :
- Vous pouvez les installer accidentellement sur vos ordinateurs. Parfois, elles sont jointes à des courriels de phishing ou à des programmes de partage de fichiers. Elles ont l’air sûres et peuvent vous inciter à les ouvrir et à les exécuter.
- Elles sont installées par des virus comme les logiciels espions ou les chevaux de Troie à votre insu. Puis ils infectent chaque profil de ceux qui utilisent cet ordinateur compromis.
- Ils peuvent être installés manuellement par des initiés malveillants qui sont autorisés à installer des logiciels sur vos ordinateurs. Ensuite, les portes dérobées peuvent se propager en exploitant des systèmes distants présentant des failles de sécurité.
- Certaines portes dérobées sont livrées avec des applications, y compris des applications légitimes. Une fois que le pirate obtient l’accès à un ordinateur et l’accès au logiciel installé dessus, il a l’autorisation de prendre le contrôle et d’infecter le logiciel.
- Les portes dérobées peuvent infecter un ordinateur en exploitant les vulnérabilités du logiciel. Elles fonctionnent comme des vers informatiques et se propagent automatiquement sans que vous le sachiez. Vous ne serez pas averti par des avertissements, des assistants de configuration ou des boîtes de dialogue lorsque cela se produit.
Que pouvez-vous faire pour protéger votre entreprise des menaces de portes dérobées ?
Les parasites de portes dérobées sont extrêmement dangereux et doivent être supprimés du système. Il est essentiel que vous contactiez votre fournisseur de solutions technologiques afin qu’il puisse faire ce qui suit :
- Bloquer l’accès externe à tous les ports Server Message Block sur l’Internet public.
- Patcher toutes les vulnérabilités Server Message Block.
- Bloquer l’accès aux serveurs C&C (ubgdgno5eswkhmpy.onion) et
- Installer un script de détection DoublePulsar.
- S’assurer d’utiliser un outil d’analyse à jour pour surveiller les menaces internes.
- Surveiller votre système pour toute tâche planifiée nouvellement ajoutée.
Contactez nos experts en cybersécurité. Nous pouvons » fermer vos portes dérobées »
]]>.