Le moteur anti-malware de nouvelle génération constitue l’une des principales mises à jour de BullGuard Internet Security, Antivirus et Premium Protection.

Il y aurait beaucoup de choses à dire sur le sujet. Alors voilà ce qu’il faut retenir, en termes simples, de cette nouvelle protection:
  • elle reconnaît les applications et les sites internet sûrs, connus pour leur fiabilité et parce qu’ils ne dissimulent aucun logiciel malveillant ;
  • elle analyse en permanence le code à la recherche de signatures ou d’anomalies associées aux logiciels malveillants ;
  • elle place tous les malwares détectés en quarantaine et les neutralise avant qu'ils n'aient le temps de causer un quelconque dommage.

Quelle différence avec le moteur comportemental précédent, nous demanderez-vous ? C’est vrai qu’il continue d’associer une protection ciblant la signature et le comportement des malwares.
  • En effet, les virus connus ont une signature qui, une fois détectée par l’antivirus, permet leur blocage.  
  • La protection comportementale identifie les logiciels malveillants sur base de leur comportement. Tout logiciel comporte un mode de fonctionnement connu et prévisible. Une anomalie dans le comportement du logiciel indiquera souvent la présence d’un malware.

Le moteur de nouvelle génération apporte toutefois un nouvel élément crucial au niveau des outils d’identification.
  • Lorsque de nouveaux schémas de comportement des logiciels malveillants sont détectés, ils font l’objet d’un signalement, sont mis en quarantaine… et viennent s’ajouter à une base de données sauvegardée dans le cloud.
  • Tous les appareils protégés par BullGuard bénéficient donc instantanément de la détection et du blocage d’une nouvelle anomalie sur un ordinateur individuel.
  • La base de données de logiciels malveillants basée sur le cloud enregistre toutes les anomalies comportementales pour assurer la défense de tous les appareils protégés par BullGuard.
  • La réaction contre les malwares inconnus ou les plus récents est donc immédiate.

Dans le monde réel

Pour bien comprendre la réalité des choses, imaginons deux cybercriminels, Pavel et Sergey, qui projettent une attaque avec un logiciel rançonneur.

Il s’agit d’un scénario tout à fait typique et plausible. Il reflète d’ailleurs le mode opératoire actuel des campagnes de ransomwares.

Pavel et Sergey savent très bien comment lancer une campagne d’hameçonnage et viennent d’acheter 500.000 adresses e-mail sur le dark web. Ce ne sont toutefois pas des experts en codage de logiciels malveillants.

Un contact sur le dark web

Sur un forum du dark web, Pavel et Sergey ont trouvé quelqu’un qui peut les aider. Un pirate informatique surnommé Bullet offre ses services de ransomware et propose même de louer un botnet – un réseau d’ordinateurs zombies connectés à internet – depuis lequel il est possible de lancer des attaques.

Bullet est aussi doué pour les affaires : plutôt que d’exiger une fortune à Pavel et Sergey pour son rançongiciel, il leur demande une participation aux bénéfices tirés de chaque attaque réussie.

Pavel et Sergey sont intéressés mais doutent quand même du ransomware de Bullet qui a déjà été utilisé par le passé. La signature du logiciel malveillant est connue et les antivirus auront tôt fait de bloquer l’attaque.

Préparation de l’attaque

Bullet les rassure : le code de son logiciel rançonneur est régulièrement modifié pour pouvoir passer les défenses antivirus. Il leur explique que quelques changements dans le code suffisent pour rendre le logiciel indétectable.

Pavel et Sergey lancent donc leur ambitieuse attaque en envoyant des e-mails aux 500.000 adresses acquises sur le dark web.

Leur message inclut une pièce jointe censée être une facture impayée dont le destinataire doit absolument s’acquitter. Lorsque la pièce est ouverte, le ransomware est libéré… Montant de la rançon demandée : 500 euros.

Quelques millions

Si le duo sait pertinemment que de nombreuses adresses ne sont plus valides, ils estiment tout de même pouvoir atteindre 10.000 contacts positifs et récolter quelque 5 millions d’euros. Après avoir payé Bullet, il leur restera encore 3 millions. Et dans le pire des cas, ils s’attendent au moins à recevoir 500.000 euros de rançons.

Les e-mails commencent à toucher les boîtes de réception dans toute l’Europe occidentale, principalement au Royaume-Uni. Une large proportion d’adresses concerne également l’Allemagne et les pays scandinaves. Des e-mails atterrissent aussi dans les boîtes mail d’utilisateurs de BullGuard.

Protection instantanée

Le moteur anti-malware nouvelle génération de BullGuard identifie immédiatement le code qui ne correspond pas aux schémas de comportement connus et le met en quarantaine. La signature est envoyée à la base de données du cloud pour garantir que tous les utilisateurs BullGuard sont bien protégés face à cette « nouvelle » attaque au rançongiciel.

Les malheureux

Malheureusement, de nombreuses personnes dont l’ordinateur n’est pas protégé seront trompées par cette campagne de hameçonnage. A la suite de celle-ci, les enquêteurs pourront surveiller les adresses Bitcoin sur lesquelles les rançons sont payées. Ils n’auront cependant aucun moyen de les lier à une adresse physique et pourront juste observer que les Bitcoins sont encaissés.

Pavel et Sergey peuvent être satisfaits et programmer quelques vacances avant leur prochaine attaque. Tous les utilisateurs de BullGuard sont saufs. Pas une seule victime à dénombrer. Ce sont les médias qui leur apprendront la nouvelle : l’attaque de grande ampleur a même touché de grandes entreprises et des organisations gouvernementales.