Publicités malveillantes et crypto-ransomware, un mélange explosif!

news-ads-ransomware.jpg

Le détournement de réseaux de diffusion de publicités en ligne est un moyen utilisé par certains criminels pour distribuer des logiciels malveillants. Ce type d'attaque n'est pas nouveau, mais est lourd de conséquences.  Inutile de cliquer sur une pièce jointe infectée, car c'est par la publicité affichée que le logiciel malveillant se lance en exploitant une ou plusieurs failles de sécurité du navigateur Internet de la victime.

Même si en général les opérateurs règlent rapidement le problème, une telle attaque possède un grand potentiel de nuisance, car le nombre de victimes peut être impressionnant. En se basant sur un cas récent, BEE SECURE vous donne des conseils pratiques pour vous protéger face à de telles attaques.

 

Le cas illustré

Le 14 mars 2016, des dizaines de milliers d’internautes ont été infectés par un « crypto-ransomware » distribué via des publicités malveillantes affichées sur des sites Internet anglophones très populaires.  

Le problème a été corrigé sitôt signalé. Les sites concernés n’affichent désormais plus ces publicités malveillantes, cependant rien ne garantit que ce type d’attaque ne se produise plus dans le futur.

 

Comment ce “ransomware” a-t-il pu être diffusé par la publicité?

De manière générale, les gestionnaires de sites Internet vendent des espaces publicitaires à des agences qui distribuent les publicités. Dans le cas de la campagne criminelle du 14 mars 2016, le but était de distribuer le « crypto-ransomware » TeslaCrypt. Pour ce faire, les attaquants ont pris le contrôle d'un domaine[1] qui sert à distribuer de la publicité en ligne, afin d’y intégrer des annonces malveillantes.

Ces publicités malveillantes cherchaient à identifier des vulnérabilités dans les navigateurs des internautes, afin d'infecter l'ordinateur des utilisateurs avec le “ransomware” “TeslaCrypt”.

 

Pourquoi cette attaque fut-elle si efficace?

La liste des sites concernés par ce problème inclut, entre autres: le New York Times, la BBC, AOL, The Weather Network, ainsi que Newsweek. Les attaquants ont ainsi pu infecter de très nombreux ordinateurs en un temps très court.

En plus, si le navigateur de l'utilisateur est vulnérable, cette attaque, de type “drive-by download”, infecte l’ordinateur directement lorsque la publicité s’affiche.

Dans le cas précis de l’attaque datant du 14 mars 2016, uniquement des machines Windows ont été menacées, cependant d’autres types de « ransomware » s’attaquent également à MacOSX.

 

Comment se protéger ?

Recommandation principale: faites des sauvegardes déconnectées.

Les "crypto-ransomware" modernes s'attaquent à tous les disques connectés, qu’ils soient installés dans la machine, connectés via un port USB ou autre, ou encore en réseau. C’est pourquoi le backup doit impérativement être physiquement déconnecté.

Quelques conseils supplémentaires pour éviter d’être infecté :

  • Gardez tous vos logiciels à jour : maintenez à jour votre système d'exploitation ainsi que votre navigateur et ses extensions (“plug-in”). Informez-vous toujours sur les dernières mises à jour disponibles et téléchargez-les uniquement sur les sites officiels.
  • N'installez que les extensions utiles et nécessaires. Des programmes tels “Flash”, “Silverlight” et “Java” étendent les fonctionnalités des navigateurs, mais soyez conscient que ces extensions représentent autant de moyens d'attaque supplémentaires contre votre ordinateur.
  • Des logiciels anti-publicité et de blocage de script existent et peuvent être très efficaces contre des attaques de type “drive-by-download”. Sachez cependant que ceux-ci peuvent aussi  impacter votre expérience de navigation (affichage incomplet, fonctionnalités limitées...).

Si vos données ont été prises en otage par le “crypto-ransomware” TeslaCrypt, il n’existe aujourd’hui aucune technique efficace permettant de les récupérer.

 

Pour en savoir plus:

 



[1] Un nom de domaine est un « masque » sur une adresse IP. Le but d'un nom de domaine est de communiquer facilement l'adresse d'un ensemble de serveurs. Par exemple, bee-secure.lu est plus simple à retenir que 31.22.120.215 (qui est une adresse IP).