Après avoir fait un retour en force en novembre de l’année dernière, Emotet montre à nouveau une croissance régulière dans l’infection des ordinateurs, accumulant plus de 100 000 hôtes infectés.
Selon des recherches récentes, Emotet n’a pas atteint l’ampleur qu’il avait autrefois, bien qu’il montre une forte résurgence après l’interruption de 10 mois en 2021. Depuis novembre, 130 000 hôtes répartis dans 179 pays ont été infectés.
Avant le démantèlement de janvier 2021, ce logiciel malveillant avait infecté 1,6 million d’appareils dans le monde. Emotet a permis aux cybercriminels d’installer des chevaux de Troie bancaires ou des ransomwares sur les systèmes compromis.
La résurrection de ce logiciel malveillant aurait été menée par le groupe Conti lui-même, utilisant Trickbot comme moyen de distribution, dans le but de changer de tactique pour échapper à la surveillance des activités malveillantes des forces de l’ordre.
Les chercheurs de Black Lotus Labs soulignent que l’ajout de bots n’a pas vraiment commencé pour de bon avant janvier 2022, où de nouvelles variantes ont modifié le schéma de chiffrement RSA, brouillant le trafic réseau. Ils peuvent également recueillir des informations allant au-delà de la liste des processus en cours sur les machines infectées.
Actuellement, le botnet compte près de 200 domaines de commande et de contrôle (C2), dont la plupart sont situés aux États-Unis, en Allemagne, au Brésil, en Thaïlande et en Inde. D’autre part, la plupart des bots infectés se trouvent en Asie, principalement au Japon, en Inde et en Chine.
« La croissance et la distribution des bots sont un indicateur important des progrès réalisés par Emotet dans le rétablissement de son infrastructure autrefois très étendue. Chaque bot est un point d’appui potentiel pour un réseau convoité et présente une opportunité de déployer Cobalt Strike ou d’être éventuellement promu au rang de bot C2 ».
Des chercheurs de l’équipe VUSec, en collaboration avec Intel, ont découvert une nouvelle variante de Spectre. Cette variante, a été nommée Spectre-BHB. Cette nouvelle variante échappe aux mesures d’atténuation mises en place contre Spectre v2.
Spectre est une vulnérabilité qui a affecté une grande partie des microprocesseurs avec prédiction de branchement. Spectre a été divulgué au début de l’année 2018. L’exploit original de Spectre permettait à un attaquant de récupérer des données sensibles dans le cache d’un ordinateur.
Avec Spectre v2, le noyau pouvait être amené à exécuter des instructions injectées dans le cache. Pour ce faire, il était nécessaire de s’attaquer au moteur de prédiction de branchement pour l’exécution spéculative de ces instructions. La méthode d’attaque a été baptisée BTI (Branch Target Injection). Pour atténuer cette exécution, une restriction a été créée pour empêcher l’exécution d’instructions en cache à partir d’un niveau de privilège inférieur.
Spectre-BHB
Spectre-BHB parvient à échapper aux mesures d’atténuation prises pour Spectre v2 en utilisant une nouvelle attaque appelée BHI (Branch History Injection). Cette attaque consiste à empoisonner l’historique d’exécution pour forcer le noyau à exécuter certaines opérations sensibles. Cela ouvre la porte à une multitude d’attaques.
L’équipe de recherche VUSec a produit une vidéo de démonstration du concept. Dans ce cas, les informations d’identification de la racine du système sont obtenues en exploitant cette vulnérabilité :
L’équipe VUSec affirme que tout processeur affecté par Spectre v2 est susceptible d’être affecté par cette attaque. Cela inclut une large gamme de microprocesseurs Intel et ARM. Les deux fabricants ont publié une note contenant une liste des microprocesseurs concernés.
Mais il n’y a pas que des mauvaises nouvelles. Des mesures d’atténuation pour Spectre-BHB existent déjà. Elles sont déployées dans les versions du noyau Linux à partir de la version 5.16. En outre, ARM a publié des correctifs pour Linux et Trusted Firmware-A et a publié un ensemble de directives pour que les autres fournisseurs puissent créer leur propre correctif.
Suite au leak des chats du groupe ransomware Conti, Brian Krebs a publié sur son site une analyse des informations les plus juteuses qui en ont été extraites. Je vous fais écho de ces informations ici, mais je vous recommande vivement la lecture des articles originaux de l’auteur.
Démantèlement de Trickbot et récupération de Conti
En septembre 2022, l’Agence nationale de sécurité (NSA) a lancé une opération de grande envergure pour démanteler le botnet Trickbot. Ce réseau a été utilisé par Conti, entre autres, pour diffuser ses attaques de ransomware.
L’agence américaine a réussi à prendre le contrôle du réseau en déconnectant les nœuds des serveurs utilisés pour le contrôler. Les chats du groupe Conti révèlent des informations sur cette action de la NSA.
L’un des dirigeants de Conti, identifié par le pseudo « Hof », a commenté le sabotage du réseau. Selon son analyse, l’agence américaine doit avoir eu accès au code source du bot ou l’avoir obtenu par reverse engineering. Les bots étaient configurés de telle sorte qu’ils continuaient à fonctionner mais n’effectuaient aucune des actions pour lesquelles ils avaient été conçus. Ils ont également été empêchés de se réparer automatiquement ou de télécharger une nouvelle mise à jour qui modifierait la configuration fournie.
Malheureusement, après plusieurs semaines, le groupe Conti a réussi à reconstruire son infrastructure de logiciels malveillants et a décidé de contre-attaquer en infectant 428 hôpitaux aux États-Unis dans le but de semer la panique. Au lendemain de l’attaque, le FBI et le ministère de la sécurité intérieure ont été contraints d’organiser une conférence d’urgence avec l’industrie médicale pour faire face à la menace imminente.
La collaboration de la Russie et la chute de REvil
Les chats divulgués par ContiLeaks témoignent de la demande de coopération du FBI auprès des autorités russes. Il semble que l’objectif du FBI était d’arrêter les criminels à l’origine du botnet Trickbot. Cependant, selon des conversations internes au groupe, les autorités russes n’avaient pas vraiment l’intention de coopérer.
L’enquête a d’abord été abandonnée, puis réactivée. Toutefois, lorsqu’elle a été réactivée, l’enquête s’est concentrée sur le principal concurrent de Conti, le groupe de logiciels malveillants REvil. En janvier de cette année, le gouvernement russe a annoncé l’arrestation de 14 personnes liées à ce groupe. Selon les autorités, cette opération a été menée en réponse à une demande des responsables américains mais, comme on peut le voir, ce n’est pas tout à fait exact.
Structure et gestion interne de Conti
La publication des chats du groupe Conti révèlent de nombreuses informations sur le fonctionnement interne du groupe. Personne ne s’étonne que, compte tenu de l’ampleur des opérations qu’ils réalisent, leur structure ressemble de près à celle de toute entreprise de taille moyenne.
Selon les chats, un salaire de base de 2 000 dollars serait offert aux nouveaux membres embauchés, mais les employés seraient payés entre 5.000 et 10.000 dollars, en fonction de leur productivité. Chaque travailleur se verrait attribuer une semaine de travail de cinq jours, les semaines étant réparties de manière à ce qu’il y ait un minimum de personnel disponible 24 heures sur 24 pour répondre aux besoins de maintenance des botnets ou aux négociations entamées avec les victimes de ransomware.
Malgré le fait que Conti soit un groupe à fort impact et très efficace, l’analyse des conversations révèle un certain air de désorganisation et un manque de coordination interne, certains nœuds de botnet étant perdus faute d’avoir trouvé les ressources nécessaires dans les portefeuilles virtuels en prévision des paiements pour maintenir les VPN ou les serveurs nécessaires à la continuité de leurs opérations.
Outils OSINT
Selon le rapport Chainalysis, les bénéfices du groupe en 2021 seraient d’environ 180 millions de dollars. Conti est donc de loin le groupe de ransomware le plus performant en activité. Les leaks de chats permettent d’estimer que le nombre d’employés de l’organisation oscille entre 65 et 100 personnes. L’investissement dans les outils de sécurité et les anti-virus est très élevé. Ceux-ci sont utilisés non seulement pour les tests de détection de leurs ransomwares, mais aussi comme mesure de protection interne.
Estimation des revenus des gangs de ransomware. Source Chainalysis
En outre, des conversations sont enregistrées sur la surveillance imposée aux administrateurs, validant leur activité sur les serveurs internes. Il s’agit de vérifier qu’aucune opération susceptible de mettre en péril la continuité ou la sécurité de l’opération n’est en cours. Cela provoque de nombreuses frictions entre les différents membres du groupe.
L’investissement de Conti dans les outils de renseignement Open Source (OSINT) est particulièrement remarquable. Des abonnements à Crunchbase Pro ou autre Zoominfo, fournissent des informations précieuses à l’organisation, telles que les montants assurés de plusieurs entreprises, une estimation de leurs bénéfices et les coordonnées des dirigeants et des membres du conseil d’administration.
En outre, le groupe utilise de multiples outils pour déterminer les entreprises qui se cachent derrière certaines plages d’adresses IP, si un VPN est lié à une certaine adresse IP ou non. Cela est crucial pour ses opérations, car le botnet utilisé accède à un grand nombre de systèmes, et il doit donc donner la priorité à ceux qui se trouvent dans le réseau des grandes entreprises.
Outils de pentesting et contacts divers
L’acquisition d’une licence de Cobalt Strike est également extraite des conversations de Conti. Cet outil commercial de test de pénétration n’est vendu qu’à certaines entreprises selon des critères stricts. Selon les informations examinées, le coût d’acquisition de la licence est estimé à 60.000 USD. La moitié de cette somme couvrirait le prix de l’outil, tandis que le reste irait à une entreprise légitime qui effectuerait l’achat.
En outre, des informations ont été trouvées sur des paiements versés à un journaliste et à des employés d’entreprises participant à la récupération de systèmes après une attaque par ransomware. Ainsi, Conti aurait une certaine influence dans les médias pour faire pression sur les victimes et les forcer à payer. Les employés chargés du recouvrement feraient office de négociateurs entre Conti et les entreprises victimes. L’organisation aurait alors l’assurance d’obtenir le maximum de l’entreprise extorquée en ayant à sa solde, un contact à l’interne.
Conti et la fièvre crypto
Les importantes sommes d’argent que le groupe Conti déplace lui permettent de réaliser des actions qui ne sont pas accessibles aux autres, comme faire varier à volonté la valeur de certaines crypto-monnaies. Dans une discussion intéressante entre les membres du groupe, il est question d’une opération massive visant à gonfler une crypto-monnaie qui rapporterait des bénéfices importants à l’organisation. Bien qu’il ne soit pas mentionné quelle plate-forme serait affectée, les dates semblent coïncider avec l’effondrement de la crypto Squid.
Les membres de Conti montrent également un grand intérêt pour la création de projets liés aux smart contracts. Cette approche n’est pas du tout farfelue, puisque des études ont déjà été réalisées sur l’impact « positif » qu’elles auraient sur les opérations de ransomware. Grâce à ces contrats, les victimes peuvent vérifier qu’elles recevront bien ce pour quoi elles ont accepter de payer si elles effectuent le paiement requis.
En résumé, les fuites de ContiLeaks ont fourni des informations très intéressantes sur le fonctionnement interne du plus grand groupe de ransomware actif. Reste à savoir s’il le restera après avoir vu toutes ses informations exposées, apparemment par un analyste ukrainien qui a décidé d’attaquer l’organisation après qu’elle ait publiquement affiché son soutien au gouvernement russe.
Anonymous s’est exprimé dans la guerre qui secoue le monde ces jours-ci, déclarant qu’il mènera une cyberguerre contre le gouvernement russe.
Anonymous est le collectif de hackers le plus connu dans le monde de l’informatique. Ses membres sont connus sous le nom de « Anons » et portent les célèbres masques de Guy Fawkes lors de leurs apparitions.
L’annonce officielle des Anonymous a été faite le 24 février via le réseau social Twitter. Le message est actuellement affiché sur le compte du collectif.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous#Ukraine
Mais ils ne se sont pas arrêtés là, puisqu’en moins d’une journée, ils ont réussi à faire tomber le site web du ministère russe de la défense, en prenant également le contrôle des bases de données du site.
Une autre réalisation importante d’Anonymous a été d’infiltrer la principale chaîne de télévision qui sert de propagande au gouvernement russe. En outre, ils affirment même avoir intercepté des communications militaires, sur une fréquence de 4220 KHz.
Actuellement, les dernières nouvelles que nous avons du canal officiel de ce groupe sont qu’ils ont obtenu la base de données du ministère de l’économie.
Officieusement, sur le canal de ce groupe d’anonymes, ils affirment qu’ils s’attaquent à l’Agence spatiale fédérale russe, et menacent même directement Poutine, affirmant qu’ils vont révéler les secrets du Kremlin. Cette mesure, ainsi que les sanctions bien connues que le monde entier impose à ce gouvernement, n’est qu’une mesure de plus pour arrêter la guerre, qui cette fois est également cybernétique.
Ainsi, la cybersécurité s’immisce dans les infrastructures critiques et démontre une fois de plus qu’il n’existe pas d’informations sûres à 100 %. Il est également certain que ces attaques ne cesseront pas tant que la guerre se poursuivra, et il est certain que de nouvelles informations concernant d’autres cyberattaques contre des infrastructures russes critiques seront communiquées dans les jours à venir.
Il y a quelques jours, j’ai publié un billet dans lequel je parlais de l’engagement de Microsoft à aider à protéger l’Ukraine en termes de cybersécurité contre les attaques de logiciels malveillants tels que FoxBlade. Aujourd’hui, le FBI et la CISA ont publié un nouveau rapport mettant en garde contre les dangers du WhisperGate et de l’HermeticWiper.
Dans le cas de WhisperGate, Microsoft a signalé qu’il s’agit d’un logiciel malveillant conçu pour ressembler à un rançongiciel, mais qui vise en fait à causer des dommages irréparables. Il s’agit d’un « wiper », un type de logiciel malveillant qui cherche à effacer complètement le disque dur de la machine affectée, en se débarrassant de toutes les informations et de tous les programmes qu’il contient. Il écrase complètement le MBR (Master Boot Record) avec une note de rançon. En outre, il tente également de détruire la partition C: en écrasant toutes les informations existantes par des données aléatoires et dénuées de sens.
D’autre part, HermeticWiper a déjà été abordé dans ce blog le 24 février, je vous renvoie donc vers l’article « La théière russe explose : l’Ukraine et la Russie également en guerre numérique » pour plus de détails sur le fonctionnement de ce malware. En résumé, HermeticWiper a été lancé en conjonction avec les leurres HermeticRansom pour rendre les appareils touchés non amorçables.
Le rapport publié par les deux organisations vise principalement à alerter les entreprises américaines, car on estime que ces attaques de logiciels malveillants pourraient éventuellement toucher des entreprises en dehors des frontières de l’Ukraine. Le rapport exhorte les entreprises à prendre des mesures telles que la mise en place d’une authentification à deux facteurs (MFA), de solutions antivirus et anti-malware, ainsi que de filtres anti-spam.
En plus des deux malwares mentionnés jusqu’à présent dans ce billet, nous allons mentionner un troisième wiper supplémentaire découvert par les chercheurs d’ESET : IsaacWiper.
Les chercheurs n’ont pas encore attribué ce nouveau wiper à un groupe cybercriminel spécifique et on ne sait pas encore exactement quel était le vecteur d’attaque initial, mais en ce qui concerne ce dernier, on soupçonne que les attaquants ont utilisé des outils tels que Impacket pour effectuer des mouvements latéraux. Ce nouveau « wiper » a été détecté dans des DLL ou des fichiers EXE de Windows sans signature d’authentification, et sa date de compilation la plus ancienne remonte à octobre 2021.
Pour conclure cette publication, il est donc recommandé, et ce non seulement aux entreprises mais aussi aux utilisateurs, de prendre les mesures de protection recommandées contre les attaques potentielles de malware et de ransomware car, bien que nous ayons parlé dans ce cas d’attaques dirigées au niveau national, les incidents causés au niveau privé par ce type de cyberattaques sont de plus en plus fréquents et touchent un nombre croissant de personnes.
