Voici ce que vous devez savoir sur le cheval de Troie Dridex
L'histoire grecque antique du cheval de Troie décrit comment les soldats grecs ont pris le contrôle de la ville de Troie en se cachant à l'intérieur d'une structure en bois géante, qu'ils ont offerte en cadeau.
L'histoire est très probablement un mythe, disent les historiens, mais le malware cheval de Troie est aussi réel que possible : c'est un type de logiciel malveillant qui dissimule sa véritable intention afin d'envahir un ordinateur ou un réseau. Et l'un des chevaux de Troie bancaires les plus prolifiques de tous les temps est Dridex.
Alors, comment fonctionne Dridex ? Est-ce toujours une menace ? Et comment éviter d'être victime ?
Qu'est-ce que Dridex et comment ça marche ?
Dridex est apparu pour la première fois en 2011 sous le nom de Cridex, mais il est également connu sous le nom de Bugat. On pense qu'il a évolué à partir du cheval de Troie Zeus, qui était répandu à l'époque.
Conçu pour voler les informations d'identification bancaires des utilisateurs de machines Windows, Dridex est généralement déployé par courrier électronique et installé via un fichier Microsoft Office.
Voici comment se déroulent généralement les attaques Dridex.
Premièrement, les cybercriminels obtiennent des milliers d'adresses e-mail et envoient des messages contenant des fichiers Word ou Excel malveillants. Ils utilisent une technique d'ingénierie sociale rudimentaire pour amener la cible à télécharger et à ouvrir le fichier—usurper l'identité d'une entité légitime, comme par exemple PayPal ou UPS.
Pour afficher le fichier téléchargé, la victime doit activer l'édition, ce qui permet aux virus de macro intégrés dans le document de s'exécuter. Une fois que l'ordinateur de la cible est infecté, le malware commence à enregistrer les frappes et à capturer les informations d'identification bancaires.
Plusieurs itérations de Dridex ont été lancées dans la nature depuis 2011, le malware évoluant continuellement et devenant de plus en plus complexe. Il est passé du ciblage des individus au déploiement contre les institutions bancaires et les grandes organisations.
Jusqu'en 2016, Dridex ciblait principalement les comptes bancaires en Europe et en Asie, mais s'est ensuite concentré sur les États-Unis.
Au début de 2021, par exemple, alors que les Américains avaient du mal à joindre les deux bouts en raison de la pandémie de coronavirus, une nouvelle campagne Dridex a vu le jour : des milliers de personnes ont reçu des e-mails de ce qui semblait être l'Internal Revenue Service (IRS) leur demandant de remplir un formulaire pour demander des chèques de relance du plan de sauvetage américain.
Selon le gouvernement américain , Dridex a causé des dommages importants à des centaines de banques et d'institutions financières dans plus de 40 pays à travers le monde, causant plus de 100 millions de dollars de vols.
Notamment, lorsqu'une nouvelle version de Dridex apparaît, les anciennes versions cessent de fonctionner, ce qui montre que les mêmes personnes sont impliquées dans son développement et son déploiement depuis près d'une décennie.
Il est largement admis que la célèbre société russe de cybercriminalité Evil Corp est derrière Dridex.
Le groupe semble avoir des liens avec les services secrets russes. Son chef présumé Maksim Yakubets a été inculpé en 2019 par le ministère américain de la Justice, qui offre une récompense de 5 millions de dollars pour les informations ayant conduit à son arrestation.
Pourquoi Dridex est-il toujours une menace majeure ?
En tant que souche de malware en constante évolution, Dridex reste une menace majeure pour les banques, les entreprises et les particuliers pour plusieurs raisons.
Le malware, en particulier ses dernières itérations, est presque indétectable, peut contourner les logiciels anti-malware et ne laisse pratiquement aucune empreinte sur un système infecté.
Contrairement à la plupart des chevaux de Troie, Dridex a la capacité de se faire passer pour un processus système Windows légitime et utilise une technique sophistiquée de liste blanche d'applications pour échapper à la détection.
En avril 2021, les chercheurs en cybersécurité de Check Point ont décrit Dridex comme le malware le plus répandu au monde.
La menace posée par Dridex est devenue double. Bien que dangereux en soi, ce malware est également utilisé dans les étapes initiales des attaques de ransomware, dans lesquelles un cybercriminel déploie un malware qui crypte les données d'une organisation et exige le paiement d'une rançon pour les déverrouiller.
Les attaques de ransomware sont en augmentation depuis le début de la pandémie de COVID-19, la transition vers le travail à distance exposant les organisations à plus de risques.
Selon certaines estimations , les ransomwares ont coûté aux entreprises du monde entier environ 20 milliards de dollars en 2020, contre 11 milliards de dollars en 2019, ce qui fait des attaques de ransomwares de loin la cybermenace qui connaît la croissance la plus rapide.
Comment se protéger contre Dridex
Il n'y a pratiquement qu'une seule façon de savoir si votre logiciel antivirus est capable de détecter Dridex, mais il serait évidemment très imprudent de prendre ce risque.
Il va sans dire que vous ne devez jamais cliquer sur des pièces jointes ou des liens suspects , mais les e-mails frauduleux qui imitent des entités légitimes sont parfois presque irréprochables et l'on pourrait très facilement commettre l'erreur de télécharger une pièce jointe infectée.
C'est pourquoi vous devez toujours faire attention à l'adresse e-mail de l'expéditeur, pas seulement à son nom. Un véritable e-mail du service de paiement en ligne Payoneer, par exemple, proviendra toujours du domaine officiel (par exemple [email protected]).
Si vous n'êtes pas sûr qu'un e-mail soit légitime ou non, vous pouvez toujours rechercher l'adresse de l'expéditeur sur Google et voir ce qui se passe.
S'il vous arrive de télécharger un fichier qui vous semble suspect, ne l'ouvrez pas. Au lieu de cela, rendez-vous sur VirusTotal et téléchargez le fichier là-bas. Cet outil analysera rapidement le fichier à la recherche de contenu dangereux.
VirusTotal peut également analyser les adresses Web pour déterminer si elles sont sûres. Cependant, comme tout autre outil, il a ses limites, il est donc toujours préférable de vérifier si une adresse e-mail est authentique.
Quant aux entreprises privées et organisations similaires, même celles qui utilisent une protection renforcée contre les logiciels malveillants peuvent être victimes d'une cyberattaque ; les employés sont de loin la cause la plus fréquente d'infractions.
Pour cette raison, les employeurs doivent éduquer le personnel sur les différents types de logiciels malveillants et s'efforcer de créer une culture de travail saine centrée sur des pratiques de cybersécurité sûres.
L'achat d' un logiciel de surveillance des employés est toujours une option et sans doute le meilleur moyen de garder un œil sur un employé et de surveiller son activité en ligne. Notez que certains outils de surveillance sont invasifs et doivent être évités.
Les employeurs qui estiment qu'une couche de sécurité supplémentaire est nécessaire devraient également envisager d'investir dans des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS).
Une combinaison de technologies IDS et IPS offre une protection robuste contre la plupart des menaces, y compris Dridex.
Pratiquez les mesures de sécurité de base
Dridex reste une énorme menace pour tout le monde, mais vous pouvez minimiser les risques en prenant des procédures de sécurité simples.
Cela inclut de se méfier des e-mails injustifiés, de ne pas cliquer sur des liens ou des pièces jointes et de rechercher régulièrement des virus. Le risque est toujours là, comme toujours, mais il est néanmoins réduit.