La cybercriminalité prend les comptables pour cible

Nous avons détecté un pic d’activité des chevaux de Troie qui visent principalement les comptables qui travaillent dans les petites et moyennes entreprises.

Nos experts ont trouvé que les cybercriminels se concentrent activement sur les PMEs, et sont particulièrement intéressés par les comptables. Leur choix est assez logique, puisqu’ils cherchent à accéder directement aux finances. Le signe le plus récent de cette tendance est un pic d’activité des chevaux de Troie, en particulier Buhtrap et RTM. Ils fonctionnent différemment et utilisent diverses méthodes pour se répandre, mais ils ont le même objectif : vider les comptes des entreprises.

Ces deux menaces sont particulièrement importantes pour les entreprises qui travaillent dans l’informatique, le service juridique, et la production à petite échelle. Contrairement aux entreprises qui travaillent dans le secteur financier, ces industries allouent un budget beaucoup plus petit à la sécurité, et c’est peut-être pourquoi elles se retrouvent dans cette situation.

RTM

RTM infecte généralement les victimes en utilisant un e-mail d’hameçonnage. Ces messages imitent les correspondances commerciales habituelles, et incluent certaines phrases comme « suite à votre demande », « copies des documents du mois dernier », ou « demande de paiement ». En cliquant sur le lien, ou en ouvrant la pièce jointe, l’appareil de la victime est immédiatement infecté, et les opérateurs ont pleinement accès au système infecté.

En 2017, nos systèmes ont enregistré que 2 376 utilisateurs ont été attaqués par RTM. En 2018, nous avons observé 130 000 cibles. Moins de deux mois se sont écoulés en 2019, et nous avons déjà remarqué que ce cheval de Troie a été détecté par plus de 30 000 utilisateurs. Si cette tendance se poursuit, il va battre le record de l’an dernier. Tout ce que nous pouvons dire pour le moment c’est que RTM est un des chevaux de Troie financiers les plus actifs.

La majorité des cibles de RTM se trouvent en Russie. Cependant, nos experts s’attendent à ce qu’il traverse les frontières, et s’attaque éventuellement aux utilisateurs d’autres pays.

Buhtrap

Buhtrap a été détecté pour la première fois en 2014. À cette époque, il s’agissait du nom d’un groupe de cybercriminels qui volait l’argent d’institutions financières russes, avec des pertes d’au moins 150 000 dollars lors de chaque attaque. Après que les codes sources de leurs outils aient été rendus publics en 2016, le nom Buhtrap a été utilisé pour désigner ce cheval de Troie financier.

Buhtrap a refait surface début 2017 lors de la campagne TwoBee, où il a surtout été utilisé pour transmettre des malwares. En mars dernier, il a fait la une (littéralement parlant), puisqu’il s’est répandu à travers plusieurs grandes agences de presse compromises dont les principales pages contenaient des scripts, implantés par les acteurs. Ces scripts exécutaient un exploit pour Internet Explorer dans les navigateurs du visiteur.

Quelques mois plus tard, en juillet, les cybercriminels ont réduit leur public, et se sont concentrés sur un groupe d’utilisateur en particulier : les comptables qui travaillent dans les petites et moyennes entreprises. C’est pour cette raison qu’ils ont créé des sites Internet qui contiennent des informations pour les comptables.

Nous nous souvenons de ce malware à cause de ce nouveau pic qui a commencé fin 2018, et se poursuit à ce jour. Au total, nos systèmes de protection ont empêché plus de 5 000 tentatives d’attaque de Buhtrap, et 250 d’entre elles ont eu lieu depuis le début de l’année 2019.

Tout comme la dernière fois, Buhtrap se répand à travers des exploits intégrés dans des agences de presse. Comme d’habitude, les utilisateurs d’Internet Explorer font partie du groupe en danger. Internet Explorer utilise un protocole chiffré pour télécharger des malwares à partir de sites infectés, ce qui complique l’analyse, et permet au malware d’éviter d’être détecté par certaines solutions de sécurité. Oui, ce cheval de Troie utilise encore une vulnérabilité détectée en 2018.

L’infection provoquée par Buhtrap et RTM offre un accès total aux postes de travail compromis. Cela permet aux cybercriminels de modifier les fichiers utilisés pour l’échange de données entre les systèmes bancaires et de comptabilité. Ces fichiers ont des noms par défaut, et aucune mesure de protection supplémentaire, pour que les escrocs puissent les modifier à leur gré. Il est difficile d’estimer les dégâts mais, comme nous l’avons appris, les criminels détournent des actifs financiers de transaction qui ne dépassent pas 15 000 dollars chacun.

Que faire ?

Pour protéger votre entreprise de telles menaces, nous vous recommandons de faire particulièrement attention à la protection de vos ordinateurs qui ont accès aux systèmes financiers, notamment ceux de vos départements de comptabilité et de gestion. Bien sûr, tous les autres appareils doivent aussi être protégés. Voici quelques conseils pratiques :

  • Installez dès que possible les corrections et les mises à jour en matière de sécurité de tous les programmes.
  • Interdisez, dans la mesure du possible, l’utilisation d’outils d’administration à distance sur les ordinateurs des comptables.
  • Prohibez l’installation de n’importe quel programme non validé.
  • Améliorez de façon générale les connaissances en sécurité du personnel qui travaille dans la finance, mais concentrez-vous également sur les pratiques contre l’hameçonnage.
  • Installez une solution de protection équipée de technologies actives d’analyse comportementale, comme Kaspersky Endpoint Security for Business.
Conseils