learn.hack.repeat

Catégorie : Chiffrement Page 1 of 2

Le nouveau ransomware VENUS, spécialisé dans les attaques RDP, fait des ravages dans le monde entier

Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.

Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer

Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.

En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.

En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.

Comment se comporte VENUS ?

Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE.

Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos. exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc. exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.

Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.

Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.

Note de rançon au format HTA du ransomware Venus.

La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.

Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.

Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:

6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05 

un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.

Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.


Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).

Ordinateurs identifiés par Shodan avec RDP exposé.

Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).

Sources :
https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
https://www.virustotal.com/gui/file/6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05/details
https://www.shodan.io/search?query=rdp
https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext

Le groupe de ransomware Conti implique Zoom dans une liste possible de fuites d’entreprises

La guerre en Ukraine pourrait faire une victime inattendue. Le groupe cybercriminel Conti a récemment exprimé son soutien total au gouvernement russe. Deux jours plus tard, le compte twitter ContiLeaks a commencé à divulguer des informations sur le groupe. Cette fuite est bien plus importante que la publication de ses manuels techniques en août de l’année dernière.

Mensaje de Conti
Message publié sur le site web de Conti.

La source de la fuite semble provenir d’une personne du groupe lui-même. C’est certainement quelqu’un qui a un accès privilégié à l’infrastructure de Conti.

Dans un premier temps, des chats privés avec des conversations entre janvier 2021 et février 2022 ont été divulgués. Ces données permettent d’obtenir des informations précieuses, telles que des adresses Bitcoin, le modèle d’organisation du groupe ou des guides sur la manière de mener des attaques.

Zoom dans les fichiers divulgués

Au milieu des proclamations anti-guerre et du soutien à l’Ukraine, de nouvelles fuites ont continué à se produire. Certaines d’entre elles ont créé une véritable agitation sur les médias sociaux. Un dossier portant le nom de Zoom est apparu parmi les fichiers divulgués.

Matt Nagel, responsable de la sécurité et de la confidentialité chez Zoom, a démenti peu après que l’entreprise ait été touchée par une violation de sécurité liée au ransomware Conti.

Parmi les contenus d’intérêt publiés par ContiLeaks figuraient le code source du panneau d’administration du groupe et des captures d’écran de serveurs de stockage. Un fichier protégé par un mot de passe s’est avéré contenir le code source des fonctions de chiffrement, de déchiffrement et de construction du ransomware.

Pour les analystes, cette découverte est d’une grande valeur. Mais ce genre de fuite a ses inconvénients. D’autres groupes pourraient voir le jour en utilisant le code publié.

L’effet sur la réputation de groupe Conti ne fait aucun doute, mais il faut encore attendre pour voir dans quelle mesure son modèle économique est affecté.

Plus d’information:
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/

Une faille dans l’algorithme de chiffrement du ransomware Hive permet de récupérer les données chiffrées

Quatre chercheurs de l’université Kookmin en Corée du Sud ont découvert une vulnérabilité dans l’algorithme de chiffrement du ransomware qui permet d’obtenir la clé maîtresse et de récupérer les informations détournées.

Hive est une famille de ransomware relativement récente. Les premières attaques ont été signalées en juin 2021 et, bien que Hive n’existe que depuis peu, elle est considérée comme l’une des familles de ransomware les plus lucratives de l’année écoulée.

Cela peut s’expliquer par une technique d’extorsion très agressive appliquée par le malware. Contrairement aux ransomwares ordinaires qui ne chiffrent que les fichiers, celui-ci réalise une « double extorsion » : d’une part, les informations sont détournées grâce au chiffrement qu’il applique aux fichiers de la victime. D’autre part, le malware menace les victimes de publier les informations volées sur sa page publique HiveLeaks.

Hive Ransomware - Decryption, removal, and lost files recovery (updated)
Entreprise touchée par Hive

Comme d’habitude, le logiciel malveillant et son infrastructure sont proposés comme un service (Ransomware-as-a-Service).

Accès à la console d’administration de Hive

Le groupe utilise différents vecteurs d’attaques pour sa propagation : campagnes de malspam, serveurs RDP compromis ou informations d’identification VPN compromises, entre autres.

Mais la bonne nouvelle aujourd’hui est que quatre chercheurs de l’université de Corée du Sud ont trouvé une méthode pour déchiffrer les informations détournées par le logiciel malveillant.

Giyoon Kim, Soram Kim, Soojin Kang et Jongsung Kim travaillent dans les domaines de la sécurité des informations et de la cryptographie mathématique. Dans leur article, ils expliquent comment fonctionne l’algorithme de chiffrement du ransomware et comment ils ont réussi à récupérer la clé maîtresse :

Fonctionnement du ransomware

Flux du fonctionnement
  1. Génération de la clé maîtresse : Hive génère 10MiB d’informations aléatoires qui seront utilisées comme clé maîtresse et flux de clés pour chiffrer les données.
  2. Chiffrement de la clé maîtresse : la clé maîtresse est chiffrée à l’aide d’une clé publique RSA-2048-OAEP qui est fixée dans l’échantillon. La clé cryptée ‘base64url_MD5_of_the_master_key.key.hive’ est stockée dans ‘C:\’ si le ransomware dispose de privilèges d’administrateur ou dans ‘C:\UsersAppDataLocalVirtualStore’ sinon.
  3. Pour rendre difficile la récupération de toute information, les processus et services qui pourraient être en cours d’exécution sont arrêtés : mspub, msdesktop, bmr, sql, oracle, postgres, redis, vss, backup, sstp.
  4. Création de fichiers batch : les fichiers « hive.bat » et « shadow.bat » sont générés, dans le but d’éliminer respectivement les preuves et les éventuelles sauvegardes. À la fin de leur exécution, les fichiers .bat s’effacent d’eux-mêmes.
  5. Création de la note de rançon : avec des informations pour la victime sur la façon de déchiffrer ses fichiers.
  6. Chiffrement des fichiers : en fonction des privilèges d’exécution du malware, tous les fichiers de la machine seront chiffrés, à l’exception de ceux nécessaires au fonctionnement du système d’exploitation.
  7. Destruction de la clé maîtresse.
  8. Suppression des informations résiduelles : le malware effectue plusieurs cycles d’écriture et d’effacement sur le disque, ce qui rend impossible la récupération des fichiers résiduels.

L’algorithme de chiffrement de Hive

Hive utilise un algorithme propriétaire qui utilise une clé maîtresse à partir de laquelle deux clés de chiffrement sont générées et utilisées pour chiffrer les informations.

Les chercheurs ont découvert que l’algorithme réutilisait partiellement ces clés lors du chiffrement de plusieurs fichiers. Cela leur a permis de trouver les équations pour obtenir le passe-partout. Il suffit d’un fichier original non chiffré ou de plusieurs fichiers chiffré dont la signature est connue, tels que des fichiers .pdf, .xlsx ou .hwp.

Bien qu’aucun logiciel officiel n’ait encore été publié pour récupérer ces informations, plusieurs POC ont été réalisées avec succès.

Tous les détails du processus de déchiffrement et de la manière dont il pourrait être automatisé se trouvent dans l’article publié par l’université.

Plus d’information:
https://arxiv.org/pdf/2202.08477.pdf

La 5ème vague

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Le FBI prévient que le ransomware BlackByte cible les infrastructures critiques

Le FBI a révélé que le groupe de ransomware BlackByte a accédé au réseau d’au moins trois organisations appartenant aux secteurs des infrastructures critiques américaines au cours des trois derniers mois.

BlackByte est un groupe qui propose le service Ransomware as a Service (RaaS). Ils sont dédiés au chiffrement des fichiers compromis sur les machines Windows, y compris les serveurs physiques et virtuels.

Les agences de cybersécurité recommandent les mesures suivantes pour atténuer les attaques de BlackByte et de tout autre attaquant de logiciels aléatoires :

  • Mettez en place des sauvegardes régulières, de sorte que les sauvegardes se trouvent à un endroit différent et ne puissent pas être supprimées de la source de données d’origine.
  • Mettez en place une segmentation du réseau, en empêchant toutes les machines du réseau d’être accessibles depuis n’importe quelle autre machine.
  • Installez les mises à jour et les correctifs du système d’exploitation, des logiciels et des micrologiciels dès qu’ils sont publiés.
  • Examinez les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires pour détecter les comptes d’utilisateur nouveaux ou non reconnus.
  • Auditer les comptes d’utilisateurs disposant de privilèges d’administrateur et configurer les contrôles d’accès en tenant compte des privilèges minimums requis. N’accordez pas les privilèges d’administrateur à tous les utilisateurs.
  • Désactivez les ports d’accès à distance (RDP) inutilisés et surveillez les journaux d’accès à distance pour détecter toute activité inhabituelle.
  • Désactiver les liens hypertextes dans les courriers électroniques entrants.
  • Utilisez l’authentification à deux facteurs lorsque vous vous connectez à des comptes ou à des services.

Entre autres mesures, celles-ci sont faciles à mettre en œuvre et augmentent considérablement la sécurité de l’infrastructure.

Plus d’information:
https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/

Page 1 of 2

Fièrement propulsé par WordPress & Thème par Anders Norén