Le malware Ramnit reprend du service contre les institutions financières européennes

2
227

Le cheval de Troie Ramnit reprend du service contre les institutions financières européennes. Après le secteur du e-commerce, c’est au tour du secteur financier d’être la cible d’attaques.

Tribune F5 Labs – Selon une récente étude menée par F5 Labs, le malware bancaire Ramnit est de retour sur son ancien terrain de chasse après de récentes incursions dans le secteur du e-commerce.

Cette découverte fait suite à l’analyse effectuée par F5 Labs et le Security Operations Center (SOC) de F5, basé dans la région EMEA, qui ont examiné les configurations du malware bancaire Ramnit en février et mars 2019. Tous les signes indiquent que les auteurs de Ramnit ciblent – une nouvelle fois – largement les sites Web de services financiers, pour coïncider avec les périodes de déclaration fiscale, principalement en Italie. Ramnit s’était jusqu’à présent fait remarquer pendant la période des fêtes de fin d’année 2018, en ciblant les sites de e-commerce américains.

Dans l’échantillon le plus récemment étudié (en mars), les auteurs du malware se sont principalement concentrés sur les sites de services financiers et les sites de technologies financières en Italie (40 % des attaques). 9 % des attaques visaient le Royaume-Uni et 8 % la France. En moyenne, toujours en mars, 70 % de toutes les cibles de Ramnit étaient Européennes – 27 % Américaines et 3 % dans le reste du monde.

Fait intéressant, bien que les sites de réseaux sociaux représentent une plus petite proportion des cibles observées en février et mars, certaines des plus importantes plateformes de réseaux sociaux dans le monde étaient toujours sous le feu des critiques, notamment Twitter, Facebook, Tumblr et YouTube.

Par ailleurs, F5 Labs a pu découvrir comment les configurations de Ramnit de ce mois de mars se sont ajustées continuellement, notamment en adaptant les tactiques d’injection de code pour attaquer les sites Web. Une innovation intéressante a d’ailleurs consisté à poursuivre des objectifs sans lien avec une entreprise ou un site web spécifique. Au lieu de cela, plusieurs mots en français, italien et anglais ont été ajoutés dans l’espoir d’attraper des sites Web aléatoires. En plus des simples mots cibles, Ramnit comprenait également le nom d’un opéra italien et quelques noms de domaine mal orthographiés.

« Ramnit est un cheval de Troie bancaire persistant, qui est apparu pour la première fois en 2010 avec la forme moins sophistiquée d’un ver autoreproducteur. Aujourd’hui, ses tactiques et ses cibles ont évolué pour toucher de nombreuses autres industries. Comme nous pouvons l’observer, il s’adapte très bien, avec notamment ce récent retour au secteur financier, ainsi qu’avec les nouvelles tentatives de ses auteurs pour étendre la surface d’attaque », explique Roy Moshailov, responsable de la recherche sur les logiciels malveillants chez F5 Networks.

« Il est essentiel que les banques et les institutions financières mettent en œuvre des solutions de protection contre la fraude sur Internet pour protéger leurs clients. Les autres industries doivent également être conscientes des techniques de plus en plus astucieuses des attaquants, afin de prendre des précautions similaires. L’important est de ne pas être complaisant. Les malwares étant principalement installés par un phishing ou publicités malveillantes, il est aussi indispensable que toutes les entreprises offrent une formation de sensibilisation à la sécurité, à leurs employés et clients ».

Les commentaires sont fermés.