learn.hack.repeat

Étiquette : Ransomware Page 3 of 8

Sécurité ? Mais qui donc va m’attaquer ?

de

On 28/11/2022

dans Malware, Phishing, Ransomware, Sécurité

Il y a actuellement une plus grande acceptation de la sécurisation des systèmes informatiques des entreprises et des institutions publiques, surtout après l’irruption du ransomware Wannacry en mai 2017. Toutefois, cette acceptation n’est pas totale, et de nombreuses entreprises et personnes ordinaires hésitent encore à le faire, se posant la même question : « Mais qui donc va m’attaquer ? ».

Source: pexels

Depuis que Wannacry est devenu public en mai 2017, les entreprises ont commencé à être plus conscientes de la nécessité de mettre en place un système sécurisé dans leurs équipements et services, mais il y a encore beaucoup d’institutions qui n’ont pas mis en place ce type de système et, si elles l’ont fait, elles n’ont pas mis en œuvre des politiques de sécurité correctes.

Pourquoi des mesures ne sont-elles pas prises ?

Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers ne prennent pas suffisamment de mesures, mais la plupart d’entre elles peuvent se résumer en un mot : désinformation.

Les médias d’information, pour la plupart, exposent les attaques menées contre les grandes entreprises ou institutions parce que ces nouvelles auront un grand impact et, de plus, il est plus difficile pour une petite entreprise de s’exposer publiquement. En outre, les informations diffusées dans les médias seront biaisées par ce que l’entreprise vous dit.

Une grande entreprise, par exemple, dira à un interlocuteur qu’elle est confrontée à un nouveau ransomware, un virus malveillant, ou que ses données ont été divulguées. Cependant, il ne dira normalement pas comment cela s’est produit ni quel était le vecteur d’entrée de l’attaquant, sauf à une autorité de cybersécurité (NCSC, NIST, CSIRT, etc.).

Phishing et vishing

Il est également possible qu’en raison du type de nouvelles sur les attaques qui apparaissent dans les médias, lorsque nous pensons à une attaque, nous pensons à un logiciel malveillant, à un ransomware, à un virus… Cependant, nous ne pensons généralement pas aux attaques de phishing ou de vishing, qui sont des attaques d’ingénierie sociale.

Le phishing consiste à inciter une personne à partager des informations confidentielles, telles que des mots de passe ou des cartes de crédit, au moyen d’un lien envoyé par courrier électronique ou par SMS, en se faisant passer pour une autre entité.

Le vishing consiste également à inciter l’utilisateur à partager des informations, mais par le biais d’un appel électronique, et ne nécessite pas de connaissances informatiques pour mener à bien cette cyber-attaque.

Ces types d’attaques sont très courants de nos jours, outre le fait qu’ils constituent un important vecteur d’entrée dans le système et qu’avec un peu de sensibilisation, il est possible de les atténuer.

Quels sont les problèmes ?

Il y a deux problèmes majeurs :

  • Si les attaques montrées ne concernent que les grandes entreprises ou institutions, les gens pensent que, s’ils ne font pas partie de ces membres, ils ne seront pas attaqués. Par conséquent, les PME et les personnes ordinaires ne vont pas s’inquiéter de la sécurisation de leurs systèmes.
  • Si, en outre, ces actualités ne comportent pas les vecteurs d’entrée des attaquants, il est très probable qu’elles ne seront pas prises en compte dans les systèmes à sécuriser. Par exemple, un élément clé de la sécurisation d’un système est la sensibilisation, car un logiciel malveillant peut s’introduire par hameçonnage ou des données peuvent être volées par un simple hameçonnage vocal.

Et pourquoi les petites entreprises ne signalent-elles pas publiquement les attaques ?

Lorsqu’une petite entreprise est attaquée, deux choses principales peuvent se produire :

  • Si l’attaque n’est pas puissante et qu’ils y survivent, ils ne s’exposeront pas eux-mêmes dans les médias publics, car ils exposeraient que leurs systèmes ne sont pas sécurisés. Une grande entreprise a son public déjà établi, mais pas une PME, qui perdrait des opportunités de marché et pourrait donc facilement faire faillite.
  • Si l’attaque est puissante et que l’entreprise n’y survit pas, ce sont les responsables de la sécurité qui perdront ces opportunités de marché et peut-être même les chances de travailler à nouveau dans le secteur.

C’est pourquoi il y a tant de désinformation sur le sujet. Cependant, certains éléments, tels que ceux examinés dans cet article, nous permettent de vérifier qu’effectivement, les PME et les particuliers sont également attaqués.

Alors, que nous montrent-ils ?

Outre les méthodes d’information classiques, il existe des sites web et des éléments qui nous présentent ce type d’informations de manière plus détaillée, comme les analyses d’acteurs du marché (IBM, Kaspersky, etc…). En outre, vous pouvez également vous tenir au courant des dernières nouvelles sur ce sujet sur ce blog 🙂 .

Ces sites présentent les dernières vulnérabilités découvertes dans les systèmes informatiques, ainsi que des statistiques sur les attaques les plus courantes et les lieux où ces attaques ont été menées. Par exemple, Kaspersky présente ici des statistiques sur les cybermenaces financières en 2021.

Dans ces statistiques, on peut voir qu’il y a eu pas mal de campagnes de phishing (8,2%), principalement des attaques de phishing visant le commerce électronique. En outre, ces attaques visaient principalement les passerelles de paiement telles que Paypal ou Mastercard, qui sont des moyens de paiement largement utilisés par la population générale.

Il nous montre également les plateformes que les attaquants usurpent le plus, comme Apple, Amazon, eBay ou Alibaba, des sites web sur lesquels nous avons l’habitude d’acheter un grand nombre d’articles en permanence et auxquels, en cas d’attaque, nous devons être préparés pour éviter de nous faire dérober.

Conclusion

Aujourd’hui, de nombreuses personnes ne se soucient pas outre mesure de la protection de leurs données en ligne ou de la fourniture d’un service entièrement sécurisé. Ils pensent, à cause des médias, que rien ne leur arrivera et n’ont pas à l’esprit qu’ils sont les plus facilement attaqués.

Si une personne est capable de vous voler dans la vie réelle sans appartenir à une grande entreprise, pourquoi ne serait-elle pas capable de vous voler sur Internet ? Et si vous mettez des alarmes, des chiens de garde et des systèmes de surveillance sur votre porte d’entrée, pourquoi ne le feriez-vous pas sur vos systèmes virtuels ?

Ou encore plus simple : si vous verrouillez votre porte d’entrée chaque fois que vous sortez, même si vous ne travaillez pas pour une multinationale, pourquoi ne pas le faire sur le web ?

Plus d’information:
https://securelist.lat/financial-сyberthreats-in-2021/96250/
https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2021_eng.pdf
https://www.ibm.com/reports/data-breach
https://www.ibm.com/reports/threat-intelligence/

Hive Ransomware extorque 1300 entreprises

de

On 21/11/2022

dans Ransomware, Sécurité

Le monde évolue, et les créateurs de logiciels malveillants n’en font pas moins, au point que l’on parle déjà dans le monde de « Ransomware-as-a-service » (Raas), le moyen qu’ils ont de monétiser leurs activités criminelles. Dans ce cas, Hive Ransomware extorque de l’argent à 1 300 entreprises.

Source: Bleeping Computer

Le modus operandi de cette activité illicite consiste à détourner un ordinateur en exploitant une vulnérabilité, qu’elle soit logicielle ou humaine, puis à exiger une rançon pour débloquer ce détournement si la victime veut que son ordinateur fonctionne à nouveau.

Lorsque la machine est infectée, le logiciel malveillant crée un document dans lequel il guide la victime sur la manière de récupérer sa machine, étape par étape, bien sûr, pour effectuer un paiement. Cela ressemble à ce qui suit:

Aujourd’hui, une attaque a cours dans laquelle Hive Ransomware extorque 1300 entreprises dans le monde entier, collectant 100 millions de dollars rien qu’en novembre 2022. Ces paiements sont totalement illicites.

Selon les services de renseignement américains, la cible de l’attaque n’a pas été filtrée, touchant tout type d’acteur, des entreprises d’infrastructure aux entreprises de soins de la santé, ce qui permet de constater l’ampleur et la criticité de l’attaque.

Le point d’exploitation semble avoir été des failles de sécurité dans le ProxyShell de Microsoft Exchange Server.

En plus de cette faille de sécurité, il existe également des contournements de moteurs antivirus ainsi que certaines mesures de sécurité de Windows.

Selon l’Agence pour la cybersécurité, les infrastructures et la sécurité (CISA), les acteurs qui ont restauré des systèmes sans paiement ont été réinfectés.

Plus d’information:
https://thehackernews.com/2022/11/hive-ransomware-attackers-extorted-100.html
https://www.cisa.gov/uscert/sites/default/files/publications/aa22-321a_joint_csa_stopransomware_hive.pdf

Le nouveau ransomware VENUS, spécialisé dans les attaques RDP, fait des ravages dans le monde entier

de

On 21/10/2022

dans Chiffrement, Data Leak, Ransomware, Sécurité

Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.

Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer

Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.

En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.

En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.

Comment se comporte VENUS ?

Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE.

Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos. exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc. exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.

Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.

Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.

Note de rançon au format HTA du ransomware Venus.

La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.

Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.

Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:

6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05

un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.

Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.


Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).

Ordinateurs identifiés par Shodan avec RDP exposé.

Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).

Sources :
https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
https://www.virustotal.com/gui/file/6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05/details
https://www.shodan.io/search?query=rdp
https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext

Alchimist

de

On 19/10/2022

dans Malware, Ransomware, Sécurité

Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.

(Source: Talos)

Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.

En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.

Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.

Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

Brute Ratel, le petit nouveau!

de

On 17/10/2022

dans Data Leak, Malware, Ransomware, Sécurité

Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.

Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.

Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.

Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.

Plus d’information:
https://bruteratel.com
https://blog.bushidotoken.net/2022/09/brute-ratel-cracked-and-shared-across.html

Page 3 of 8

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén