Les banques sont sous le coup de cyber-attaques redoublées depuis quelques années, mais l'ampleur du phénomène semble avoir été sous-estimée. D'après Kaspersky Lab, au moins 140 entreprises (banques, opérateurs télécoms, organismes gouvernementaux...) réparties dans 40 pays différents ont été pénétrées par des malfaiteurs ces dernières années. La France et les Etats-Unis seraient parmi les pays les plus touchés.

Pas de fichiers, pas de traces

Comment le malware a-t-il échappé aux contrôles ? C'est simple : il n'utilise pas de fichiers. Il réside uniquement dans la mémoire vive des machines qu'il infecte, et s'appuie sur des outils d'administration (PowerShell, Metasploit, Mimikatz, etc.) dont il cache des morceaux dans la base de registre pour se propager sur le réseau. Cette technique, qui le rend pratiquement invisible, est proche de celle qu'utilisait Duqu 2.0, un dérivé de Stuxnet que Kaspersky a découvert il y a deux ans sur son propre réseau interne. Le nouveau malware, lui, a été découvert pour la première fois il y a un an. La méthode initiale de pénétration du réseau n'est pas connue.

"La détermination des attaquants à masquer leur activité et à compliquer de plus en plus la détection et la réponse aux incidents explique la recrudescence de techniques anti-investigations et de malwares résidant en mémoire", commente dans un communiqué Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab.

Le crime... paie ?

Aucun indice n'a été découvert sur les responsables de ces attaques pour le moment (sont-ils un seul groupe ou plusieurs ?), et Kaspersky prévient que le nombre de victimes pourrait être beaucoup plus élevé qu'estimé en raison de la furtivité des attaques. Une fois dans le réseau, le modus operandi est basique : infecter les ordinateurs en charge des distributeurs automatiques de billets et les faire se vider tout seuls. Kaspersky Lab pointe du doigt des groupes criminels aux méthodes similaires qu'il a déjà identifiés, baptisés GCMAN et Carbanak. L'entreprise publiera de plus amples d'informations techniques sur la méthodologie des malfaiteurs courant avril.