learn.hack.repeat

AXA ne paiera plus!

de

On 09/05/2021

dans Sécurité

Payer ou ne pas payer les criminels qui chiffrent les données d’une entreprise, telle est la question. AXA a pris une décision en France : la couverture d’assurance cybernétique ne restituera pas l’argent des rançons aux clients qui paient pour l’extorsion. Cette décision a été prise dans le cadre d’une table ronde du Sénat en France portant sur « l’épidémie mondiale dévastatrice de ranswomware ».

La décision de l’assureur est lourde de conséquences. La situation est critique, les dommages se chiffrent en millions et les victimes risquent non seulement de perdre des données, mais aussi de voir leurs informations divulguées au public si elles ne paient pas. Le sentiment d’impuissance est généralisé. Les cyberassureurs tels qu’AXA, qui pourraient couvrir le coût du paiement de la rançon, ont conclu que cette clause encourageait précisément la moins traumatisante des solutions : céder à l’extorsion. Non seulement elle a rendu l’activité d’assurance non rentable, mais elle a également alimenté le secteur de la cybercriminalité lui-même. Rappelez-vous que l’une des stratégies contre les attaquants est que si vous ne les payez pas, l’entreprise d’extorsion deviendra non rentable. Mais quelle est l’alternative pour de nombreuses organisations qui sont obligées de fermer leurs portes si elles ne paient pas ? Soit ils cèdent à l’extorsion et alimentent le processus qui renforce les attaquants (et se perpétue contre d’autres entreprises qui seront de futures victimes)… soit ils résistent au paiement et perdent tout.

Il faut étrangler le commerce des ransomwares non seulement en empêchant l’extorsion de fonds, mais aussi en améliorant la sécurité des entreprises et en adoptant des lois efficaces qui poursuivent les criminels avec des sanctions qui découragent les attaques. Facile à dire, complexe à mettre en œuvre. Mais une seule approche ne suffit pas. La décision d’AXA a montré que le fait de normaliser le paiement et de prendre le risque n’est pas non plus une option viable en soi.

Plus d’information:
https://abcnews.go.com/Technology/wireStory/insurer-axa-halts-ransomware-crime-reimbursement-france-77540351

Europol met fin à Emotet

de

On 29/04/2021

dans Sécurité

Une opération d’Europol a permis de mettre à jour Emotet le 25 avril afin de supprimer le logiciel malveillant de tous les ordinateurs infectés.

Emotet a commencé comme l’un des nombreux chevaux de Troie bancaires, avec ses premières apparitions en 2014. Puis, au fil du temps, il a évolué vers un logiciel malveillant modulaire. Il s’agit notamment de l’envoi de courriers électroniques non sollicités ou du vol d’argent. Sa principale fonction, ces derniers temps, était d’agir comme un téléchargeur. Dans ce rôle, il a servi à télécharger et à exécuter d’autres logiciels malveillants tels que Trickbot. Il y a quelques mois, j’avais évoqué dans ce blog la manière dont sa propagation a été arrêtée.

Workflow d’Emotet. Source : CISA

Le 25 avril, Europol a publié une mise à jour du botnet avec EmotetLoader.dll, une DLL 32 bits qui exécute une routine permettant de supprimer les logiciels malveillants des ordinateurs infectés. Deux chercheurs de Malwarebytes, Jérôme Segura et Hasherezade, ont analysé son fonctionnement.

L’une des nouvelles routines, uninstall_in_april, est un vérificateur de date. Si le délai est dépassé, le 25 avril, la sous-routine de désinstallation est exécutée. Sinon, il continue à vérifier dans une boucle jusqu’à ce que la condition soit remplie.

Routine de vérification des dates. Source : Malwarebytes

La sous-routine pour désinstaller Emotet est simple. Tout d’abord, il supprime le service associé à Emotet, puis il supprime la clé de registre et tente de déplacer le fichier vers %temp%. Enfin, il met fin au processus, ce qui prend en compte les deux mécanismes de persistance du malware. La clé de registre est indiquée dans les scénarios où l’installation ne nécessite pas de privilèges, et le service associé est indiqué lorsque l’échantillon est exécuté avec des privilèges d’administrateur.

L’infrastructure d’Emotet a été mise sur écoute fin janvier et les communications avec le botnet ont été redirigées vers des serveurs de commande et de contrôle appartenant à l’Office fédéral allemand d’investigation criminelle (Bundeskriminalamt). Il convient de noter que cette mise à jour ne supprime pas le logiciel malveillant installé par Emotet.

Plus d’information:
https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/
https://digit.fyi/goodbye-emotet-notorious-botnet-permanently-deleted/
https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/

Découverte d’une vulnérabilité critique dans VMWare vCenter

de

On 26/02/2021

dans CVE, Sécurité

Une vulnérabilité a récemment été découverte dans le logiciel vCenter Server de VMWare qui permet à un attaquant d’exécuter du code à distance.

Le logiciel vCenter Server développé par VMWare permet aux administrateurs système de gérer les machines virtuelles et les hôtes utilisés dans les environnements d’entreprise au moyen d’une console unique.

Pour gérer les différents hôtes et machines virtuelles, les administrateurs système utilisent le logiciel vCenter Client, qui est un client web (HTML5) qui effectue des requêtes à l’API fournie par vCenter Server. Pour utiliser le client, il est nécessaire que les administrateurs s’authentifient avec un utilisateur valide sur le système, cependant, la vulnérabilité ne nécessite pas d’authentification pour être exploitée.

Comme nous pouvons le voir dans le tweet suivant de PT SWARM, en faisant une simple requête HTTP à l’API vCenter, il est possible d’exploiter la vulnérabilité, avec laquelle un attaquant peut exécuter des commandes système et finalement exécuter du code malveillant. En outre, il est possible d’exploiter la vulnérabilité sans configuration spéciale, car le problème se produit également dans les configurations par défaut.

Imagen

Cette vulnérabilité a déjà été signalée (CVE-2021-21972) et corrigée par WMWare dans la dernière mise à jour qu’ils ont publiée. Il est fortement recommandé de passer à la dernière version de vCenter Server et vCenter Client dès que possible afin de s’assurer qu’aucun attaquant ne puisse exploiter cette vulnérabilité sur vos serveurs.

Plus d’information:
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-all-default-vcenter-installs/

Trick or Treat – Trickbot vs Microsoft

de

On 20/10/2020

dans Sécurité

Le 12 octobre, Microsoft a mené une opération visant à démanteler Trickbot en vertu d’une décision de justice, accordée à l’approche de l’élection présidentielle américaine prévue le 3 novembre, où les ransomwares constituent une préoccupation majeure.

Entre autres motifs d’allégation au cours de l’affaire, Microsoft a inclus le droit d’auteur contre l’utilisation malveillante de son logiciel par Trickbot, créant ainsi un précédent qui pourrait accélérer les actions futures. Microsoft et d’autres entreprises, dont ESET, Black Louts Labs de Lumen, NTT Ltd. et Symantec, ont reçu l’autorisation de désactiver les adresses IP utilisées par les serveurs C&C, de perturber l’accès au contenu stocké sur les serveurs concernés, de suspendre les services aux opérateurs du botnet et de bloquer toute tentative des opérateurs de Trickbot d’acheter ou de louer de nouveaux serveurs.

Trickbot se caractérise par un logiciel malveillant modulaire composé généralement d’un module d’encapsulation, d’un chargeur et d’un module principal. Il permet l’utilisation de différents modules/plugins qui sont étendus dans les versions successives pour améliorer les fonctionnalités. L’enveloppe est utilisée pour échapper aux techniques de détection en exécutant le chargeur en mémoire, ce qui prépare l’ordinateur à l’exécution du logiciel malveillant principal. Les modules Trickbot permettent, entre autres fonctions, d’obtenir des informations sur le système et le réseau de l’ordinateur compromis, de voler des données et des informations d’identification, d’exécuter des commandes et de se propager à d’autres réseaux. En outre, les opérateurs de Trickbot peuvent installer des outils supplémentaires tels que Cobalt Strike, et utiliser PowerShell Empire, PSExec et AdFind pour installer d’autres logiciels malveillants sur l’ordinateur, tels que le célèbre ransomware Ryuk, qui a fait de nombreuses victimes parmi les centres de recherche médicale, les hôpitaux et les universités.

L’un des plus anciens plugins utilisés par Trickbot est le web inject, qui permet au malware de modifier dynamiquement le site Web visité par l’ordinateur compromis. Pour fonctionner, ce plugin utilise des fichiers de configuration spécifiques à un ensemble de sites web, la plupart des fichiers identifiés ciblant des institutions financières selon le rapport publié par ESET, qui établit également un lien entre ce fonctionnement et la flexibilité offerte par Trickbot et le ransomware.

D’autre part, le rapport publié par Microsoft met en évidence de multiples campagnes Trickbot simultanées identifiées au cours du mois de juin, où la complexité de l’utilisation des techniques renforce la conviction qu’elle est utilisée par des groupes organisés. C’est précisément le résultat de ces recherches, ainsi que les craintes que le ransomware n’entache l’élection présidentielle de novembre, qui ont incité à prendre des mesures pour neutraliser le logiciel malveillant.

Conti, le successeur de Ryuk, lance son propre site web pour divulguer des données volées

de

On 27/08/2020

dans Sécurité

Conti est un nouveau ransomware qui a remplacé Ryuk dans les infections via TrickBot. Il a récemment lancé son propre site web pour publier les données volées de ses victimes.

Depuis juillet de cette année, TrickBot, un malware bancaire modulaire utilisé comme dropper de ransomware, a commencé à infecter ses victimes avec un nouveau ransomware appelé Conti.

Il est connu comme le successeur de Ryuk, car jusqu’en juillet, Ryuk était le ransomware de choix des distributeurs de TrickBot pour infecter leurs victimes.

Conti est un nouveau ransomware, dont le modèle économique des développeurs est basé sur ce que l’on appelle le Ransomware-as-a-Service (RaaS), qui consiste à offrir leur ransomware en tant que service, en fournissant à leurs clients le logiciel pour réaliser l’infection et en prenant en charge la configuration et la maintenance du serveur de contrôle.

Conti ransom note

Demande de rançon de Conti (Source : BleepingComputer)

Ce nouveau ransomware a copié le comportement de certains des ransomwares les plus populaires, comme Ryuk, et ne se contente pas de crypter les fichiers contre une rançon, mais demande également un paiement supplémentaire afin que les attaquants ne publient pas les fichiers volés qui sont envoyés au serveur de contrôle avant d’être cryptés.

Afin de rendre publics les fichiers volés et tout leur contenu, les attaquants derrière Conti ont lancé leur propre site web où ils ont déjà commencé à télécharger des fichiers contenant des informations sensibles d’entreprises connues qui ont été attaquées et n’ont pas payé.

En effet, en exigeant une rançon pour récupérer les fichiers, un grand nombre de leurs victimes pourraient simplement ne pas payer et utiliser les copies de sauvegarde dont elles disposent. Cependant, ils cherchent ainsi à mettre les entreprises dans une situation compliquée, car si elles ne paient pas, leurs données seront exposées, ce qui est un problème pour leur réputation.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/

Page 27 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén