learn.hack.repeat

Étiquette : Malware Page 5 of 7

La théière russe explose: l’Ukraine et la Russie, également en guerre numérique

de

On 24/02/2022

dans Malware, Sécurité

Premier jour de cette nouvelle guerre et le site web de l’armée russe a parlé de lui même hier, 24 février, lorsque le code d’erreur HTTP 418 signifiant « Je suis une théière » s’est affiché à la place du site web.

Le code d’erreur, loin de représenter un nouveau code pour les l’IoT, a été créé comme une blague le jour du poisson d’avril 1998. C’est un moyen non seulement d’empêcher l’accès au web, mais aussi d’exprimer une pensée sûrement partagée par de nombreux collectifs en ces temps de guerre.

Message d’erreur, visible lors de la rédaction de cet article.

Ce n’est pas la seule attaque, d’autres sites web du gouvernement russe ont également subi des cyberattaques qui les ont rendus inopérants. C’est la manière dont la communauté exprime, au moins de manière virtuelle, la stupeur provoquée par ce pays au cours des dernières années, des derniers mois et, évidemment, de ces derniers jours désastreux.

Fil Twitter commentant le message d’erreur 418.
Fil Twitter sur les sites Web du gouvernement russe désactivés.

Ces attaques surviennent après les attaques successives de la Russie contre des centaines de sites web ukrainiens. Une pratique de plus que le gouvernement russe a utilisée pour déstabiliser le pays voisin au début de la guerre actuelle. Parmi ces attaques, un nouveau logiciel malveillant, rapidement analysé par l’analyste Juan Andrés Guerrero-Saade, a retenu l’attention. La coopération entre analystes, dont beaucoup ont partagé cette expérience sur les réseaux sociaux, est toujours un motif de réjouissance.

Fil de discussion sur l’analyse de @juandres_gs

L’analyse complète du malware, appelé HermeticWiper, a été publiée sur le site Web de sentinelLabs. Il porte le nom du certificat utilisé par le malware « Hermetica Digital Ltd » et le fonctionnement de ce malware, visant à détruire les données sur les machines infectées.

Communication sur le compte de recherche ESET.

ABC News donne un aperçu des attaques de ces derniers mois, dont celles du logiciel malveillant susmentionné, qui ont principalement visé de grands entrepreneurs du gouvernement ukrainien en Lettonie et en Lituanie et une institution financière en Ukraine. On ne sait pas encore combien de personnes pourraient être concernées. C’est loin d’être la seule attaque subie, ni la plus dommageable pour le pays ces dernières années (il suffit de se souvenir de NotPetya).

Dans ces conditions, cette guerre se déroule sur plusieurs fronts, et celui du numérique en est un. Comme de nombreux médias le soulignent déjà, l’attrition des cyber-attaques contre l’Ukraine vise à déstabiliser davantage le pays. S’il y avait le moindre doute sur le fait que, dans une guerre physique, le cyberespace ne serait pas pertinent, ce doute devrait avoir été écarté à ce jour.

En outre, il ne semble pas déraisonnable de penser que, compte tenu de la situation, nous n’en sommes qu’au début, et que nous ne pouvons donc pas nous sentir exclus. Non seulement en raison de la situation elle-même, qui est dévastatrice et impensable, mais aussi parce que tout est connecté numériquement.

Nous sommes-nous préparés à cette guerre ?

Plus d’information:
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack

La 5ème vague

de

On 18/02/2022

dans Chiffrement, Ransomware, Sécurité

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Microsoft désactive l’installateur MSIX pour éviter les abus

de

On 10/02/2022

dans CVE, Malware, Sécurité

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

Une application 2FA contenant un cheval de Troie bancaire infecte 10000 victimes via Google Play

de

On 01/02/2022

dans Malware, Sécurité

Après avoir été disponible pendant plus de deux semaines, une application malveillante d’authentification à deux facteurs (2FA) a été retirée de Google Play, mais pas avant d’avoir été téléchargée plus de 10 000 fois.

L’application, qui est entièrement fonctionnelle en tant qu’authentificateur 2FA, est chargée du malware Vultur Stealer qui cible les données financières de l’utilisateur.

Les chercheurs de Pradeo recommandent aux utilisateurs qui ont installé l’application malveillante, nommée « 2FA Authenticator », de la supprimer immédiatement de leurs appareils, car ils sont toujours en danger, tant pour le vol de données bancaires que pour d’autres attaques possibles grâce aux autorisations étendues de l’application.

Les cybercriminels ont développé une application fonctionnelle et convaincante, en utilisant le code de l’application open source Aegis, mais modifiée par des modules complémentaires malveillants. Cela l’a aidé à se propager dans Google Play sans être détecté, selon un rapport de Pradeo publié jeudi.

La demande d’autorisations élevées permet aux attaquants d’exécuter un certain nombre de fonctions supplémentaires, telles que l’accès à la localisation de l’utilisateur, la possibilité d’effectuer des attaques géociblées, la désactivation du verrouillage de l’écran ou du mot de passe, le téléchargement et l’installation d’apps tierces, etc.

L’équipe de Pradeo rapporte que, bien que leurs chercheurs aient contacté Google pour faciliter leurs découvertes, la société a mis près de 15 jours pour désactiver l’application.

Plus d’information:
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play

iLOBleed : Rootkit affectant les serveurs HP

de

On 03/01/2022

dans Malware, Sécurité

Des chercheurs ont détecté un type de rootkit affectant les systèmes de gestion de serveurs intégrés de Hewlett-Packard (HP), utilisés dans les serveurs des environnements d’entreprise.

L’analyse d’un rootkit qui cible la technologie de gestion de serveurs Integrated Lights-Out (iLO) de Hewlett-Packard Enterprise pour mener des attaques qui manipulent les modules de micrologiciels et peuvent effacer complètement les données des systèmes infectés a récemment été publiée.

Cette découverte, qui constitue le premier cas de logiciel malveillant réel dans un micrologiciel iLO, a été documentée par la société iranienne de cybersécurité Amnpardaz.

« De nombreux éléments de iLO en font une cible idéale pour les logiciels malveillants et les groupes APT : des privilèges extrêmement élevés (au-dessus de tout niveau d’accès dans le système d’exploitation), un accès de très bas niveau au matériel, il est pratiquement caché des administrateurs et des outils de sécurité, l’absence d’outils d’inspection et d’analyse, la persistance qu’il procure et, surtout, le fait qu’il soit toujours en cours d’exécution.« 

Outre la gestion des serveurs, le fait que les modules iLO aient accès à l’ensemble du matériel, des micrologiciels, des logiciels et du système d’exploitation installés en fait un candidat idéal pour attaquer les organisations qui utilisent des serveurs HP, tout en permettant aux logiciels malveillants de persister après les redémarrages et de survivre aux réinstallations du système d’exploitation.

Baptisé iLOBleed, le rootkit a été utilisé dans des attaques depuis 2020 dans le but de manipuler un certain nombre de modules de firmware d’origine afin d’entraver furtivement les mises à jour du firmware. Bien que le groupe responsable du malware n’ait pas été identifié, les chercheurs soupçonnent qu’il s’agit de l’œuvre d’un APT.

Plus d’information:
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html

Page 5 of 7

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén