Les chercheurs en sécurité de par le monde se sont unis dans un projet dédié au partage des URL utilisées dans les campagnes malveillantes. Ils ont réussi à supprimer près de 100 000 sites Web activement impliqués dans la distribution de logiciels malveillants.Appelé URLhaus, le projet a été lancé par abuse.ch, une organisation de cybersécurité à but non lucratif basée en Suisse. Il a commencé fin mars 2018 et a enregistré en moyenne 300 soumissions par jour provenant de 265 chercheurs en sécurité.
Envoyé par abuse.ch
Fin mars 2018, abuse.ch a lancé son projet le plus récent appelé URLhaus. URLhaus a pour objectif de collecter et de partager les URL utilisées pour la diffusion de programmes malveillants. Le projet est un énorme succès : avec l’aide de la communauté, URLhaus a pu détruire près de 100 000 sites de distribution de programmes malveillants en seulement 10 mois! Au cours de cette période, 265 chercheurs en sécurité répartis dans le monde entier ont identifié et soumis en moyenne 300 sites de programmes malveillants à URLhaus chaque jour, aidant les autres utilisateurs à protéger leur réseau et les utilisateurs contre les campagnes de programmes malveillants.
Mais ce n’est pas seulement la communauté infosec qui fait d’URLhaus une réussite. Avec la communauté, URLhaus a également réussi à attirer l’attention de nombreux fournisseurs d’hébergement, les aidant ainsi à identifier et à gérer les sites Web compromis hébergés sur leur réseau. Ce n'est pas une tâche facile, en particulier pour les grands hébergeurs qui comptent des dizaines de milliers de clients et, par conséquent, un nombre considérable de sites Web détournés sur leur réseau qui sont exploités par des cybercriminels pour diffuser des logiciels malveillants.
Néanmoins, URLhaus compte en moyenne entre 4 000 et 5 000 sites de distribution de programmes malveillants actifs chaque jour, ce qui est beaucoup trop.
Mais ce n’est pas seulement la communauté infosec qui fait d’URLhaus une réussite. Avec la communauté, URLhaus a également réussi à attirer l’attention de nombreux fournisseurs d’hébergement, les aidant ainsi à identifier et à gérer les sites Web compromis hébergés sur leur réseau. Ce n'est pas une tâche facile, en particulier pour les grands hébergeurs qui comptent des dizaines de milliers de clients et, par conséquent, un nombre considérable de sites Web détournés sur leur réseau qui sont exploités par des cybercriminels pour diffuser des logiciels malveillants.
Néanmoins, URLhaus compte en moyenne entre 4 000 et 5 000 sites de distribution de programmes malveillants actifs chaque jour, ce qui est beaucoup trop.
Les réseaux d'hébergement chinois sont lents à réagir
L'activité de retrait a impliqué la coopération des sociétés hébergeant les sites Web offensants sur leur infrastructure, certaines d'entre elles ne se sont pas précipitées pour répondre aux rapports d'abus. Comme le note abuse.ch dans son rapport, « examiner la durée moyenne de retrait d’un site Web ne rend pas la situation meilleure : en moyenne, les sites de distribution de programmes malveillants restent actifs pendant plus d'une semaine (8 jours, 10 heures, 24 minutes). C'est plus que le temps nécessaire pour infecter des milliers d'appareils chaque jour ».
Les fournisseurs d’hébergement chinois ont mis le plus de temps à réagir aux plaintes concernant l’implication de certains sites Web dans des activités malveillantes.
« Les trois principaux réseaux d'hébergement de logiciels malveillants chinois ont un temps de réaction moyen des centres d'abus supérieur à un mois », regrette l’organisation.
ChinaNet, China Unicom et Alibaba ne se sont pas empressés de prendre les mesures appropriées, laissant les sites Web compromis actifs pendant un mois et environ 10 jours, un mois et 23 jours, et un mois et 2 jours, respectivement. Le nombre total d'URL de programmes malveillants qui leur ont été signalés était proche de 500.
Le cas le plus rapide en Italie était le cas critique. Il leur a fallu 22 heures pour récupérer 151 URL malveillantes. Ensuite, il y avait Unified Layer, aux États-Unis, qui a supprimé 127 URL malveillantes en deux jours et demi. La liste du top 15 des 1627 hébergeurs et de leur temps de réactivité est disponible ci-dessous:
Les sites Web compromis diffusent principalement Emotet
Envoyé par abuse.ch
Une grande partie des sites de distribution de programmes malveillants suivis par URLhaus sont liés à Emotet (alias Heodo). Emotet se propage par le biais du spam qui frappe la boîte de réception des utilisateurs presque tous les jours. Ces campagnes Malspam contiennent généralement un document Office malveillant contenant des macros. Une fois que la victime a ouvert le document et activé les macros, elle télécharge et exécute automatiquement Emotet à partir d'un site Web compris. Pour contourner les filtres antispam, ces campagnes Malspam pointent parfois vers un site Web composé qui héberge le document Office malveillant au lieu de le joindre directement au courrier électronique. Pour démanteler ces campagnes et éviter que les utilisateurs ne soient infectés par Emotet, il est essentiel que les sites de distribution de programmes malveillants associés soient nettoyés à temps par le fournisseur d'hébergement responsable.
Emotet a commencé comme un cheval de Troie bancaire, mais il est en constante évolution, ajoutant de nouvelles fonctionnalités telles que la diffusion d’autres logiciels malveillants ou vérifiant si l’adresse IP de la victime est inscrite sur une liste noire ou sur une liste de courrier indésirable.
Au cours des dix derniers mois, URLhaus a collecté environ 380 000 échantillons de programmes malveillants, dont près de 16 000 étaient des charges utiles Emotet, ce qui l’a placé au premier rang.
Le cheval de Troie bancaire Gozi tombe à la deuxième place avec près de 13 000 charges utiles, suivi du ransomware GandCrab avec un peu plus de 6 000 échantillons.
Sources : rapport, liste complète des hébergeurs concernés
Et vous ?
Que pensez-vous de cette initiative ? Aimeriez-vous participer ?Voir aussi :
Des chercheurs mettent au point une IA capable de détecter des maladies génétiques rares en analysant les traits de visage des patients Des chercheurs développent une IA qui serait capable de faire de meilleurs pronostics que les thérapeutes, sur l'avenir d'une relation de couple Un chercheur pirate le niveau de sécurité L3 de l'outil DRM gratuit de Google qu'utilisent plusieurs fournisseurs de services de streaming Des chercheurs utilisent une amibe pour résoudre le problème du voyageur de commerce énoncé avec huit villes, un problème d'optimisation très complexe Des chercheurs découvrent une vulnérabilité d'exécution de code à distance dans SQLite, affectant les navigateurs basés sur Chromium