learn.hack.repeat

Étiquette : Ransomware Page 5 of 8

Le FBI et la CISA mettent en garde contre les dangers de WhisperGate et d’HermeticWiper

de

On 06/03/2022

dans Malware, Ransomware, Sécurité

Il y a quelques jours, j’ai publié un billet dans lequel je parlais de l’engagement de Microsoft à aider à protéger l’Ukraine en termes de cybersécurité contre les attaques de logiciels malveillants tels que FoxBlade. Aujourd’hui, le FBI et la CISA ont publié un nouveau rapport mettant en garde contre les dangers du WhisperGate et de l’HermeticWiper.

Dans le cas de WhisperGate, Microsoft a signalé qu’il s’agit d’un logiciel malveillant conçu pour ressembler à un rançongiciel, mais qui vise en fait à causer des dommages irréparables. Il s’agit d’un « wiper », un type de logiciel malveillant qui cherche à effacer complètement le disque dur de la machine affectée, en se débarrassant de toutes les informations et de tous les programmes qu’il contient. Il écrase complètement le MBR (Master Boot Record) avec une note de rançon. En outre, il tente également de détruire la partition C: en écrasant toutes les informations existantes par des données aléatoires et dénuées de sens.

D’autre part, HermeticWiper a déjà été abordé dans ce blog le 24 février, je vous renvoie donc vers l’article « La théière russe explose : l’Ukraine et la Russie également en guerre numérique » pour plus de détails sur le fonctionnement de ce malware. En résumé, HermeticWiper a été lancé en conjonction avec les leurres HermeticRansom pour rendre les appareils touchés non amorçables.

Le rapport publié par les deux organisations vise principalement à alerter les entreprises américaines, car on estime que ces attaques de logiciels malveillants pourraient éventuellement toucher des entreprises en dehors des frontières de l’Ukraine. Le rapport exhorte les entreprises à prendre des mesures telles que la mise en place d’une authentification à deux facteurs (MFA), de solutions antivirus et anti-malware, ainsi que de filtres anti-spam.

En plus des deux malwares mentionnés jusqu’à présent dans ce billet, nous allons mentionner un troisième wiper supplémentaire découvert par les chercheurs d’ESET : IsaacWiper.

Les chercheurs n’ont pas encore attribué ce nouveau wiper à un groupe cybercriminel spécifique et on ne sait pas encore exactement quel était le vecteur d’attaque initial, mais en ce qui concerne ce dernier, on soupçonne que les attaquants ont utilisé des outils tels que Impacket pour effectuer des mouvements latéraux. Ce nouveau « wiper » a été détecté dans des DLL ou des fichiers EXE de Windows sans signature d’authentification, et sa date de compilation la plus ancienne remonte à octobre 2021.

Pour conclure cette publication, il est donc recommandé, et ce non seulement aux entreprises mais aussi aux utilisateurs, de prendre les mesures de protection recommandées contre les attaques potentielles de malware et de ransomware car, bien que nous ayons parlé dans ce cas d’attaques dirigées au niveau national, les incidents causés au niveau privé par ce type de cyberattaques sont de plus en plus fréquents et touchent un nombre croissant de personnes.

Plus d’information:
Beware of WhisperGate and HermeticWiper – Warns the FBI and CISA
Researchers Peek into the Deadly WhisperGate Wiper

Le groupe de ransomware Conti implique Zoom dans une liste possible de fuites d’entreprises

de

On 04/03/2022

dans Chiffrement, Malware, Ransomware, Sécurité

La guerre en Ukraine pourrait faire une victime inattendue. Le groupe cybercriminel Conti a récemment exprimé son soutien total au gouvernement russe. Deux jours plus tard, le compte twitter ContiLeaks a commencé à divulguer des informations sur le groupe. Cette fuite est bien plus importante que la publication de ses manuels techniques en août de l’année dernière.

Mensaje de Conti
Message publié sur le site web de Conti.

La source de la fuite semble provenir d’une personne du groupe lui-même. C’est certainement quelqu’un qui a un accès privilégié à l’infrastructure de Conti.

Dans un premier temps, des chats privés avec des conversations entre janvier 2021 et février 2022 ont été divulgués. Ces données permettent d’obtenir des informations précieuses, telles que des adresses Bitcoin, le modèle d’organisation du groupe ou des guides sur la manière de mener des attaques.

Zoom dans les fichiers divulgués

Au milieu des proclamations anti-guerre et du soutien à l’Ukraine, de nouvelles fuites ont continué à se produire. Certaines d’entre elles ont créé une véritable agitation sur les médias sociaux. Un dossier portant le nom de Zoom est apparu parmi les fichiers divulgués.

Matt Nagel, responsable de la sécurité et de la confidentialité chez Zoom, a démenti peu après que l’entreprise ait été touchée par une violation de sécurité liée au ransomware Conti.

Parmi les contenus d’intérêt publiés par ContiLeaks figuraient le code source du panneau d’administration du groupe et des captures d’écran de serveurs de stockage. Un fichier protégé par un mot de passe s’est avéré contenir le code source des fonctions de chiffrement, de déchiffrement et de construction du ransomware.

Pour les analystes, cette découverte est d’une grande valeur. Mais ce genre de fuite a ses inconvénients. D’autres groupes pourraient voir le jour en utilisant le code publié.

L’effet sur la réputation de groupe Conti ne fait aucun doute, mais il faut encore attendre pour voir dans quelle mesure son modèle économique est affecté.

Plus d’information:
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/

Nouvelles attaques de phishing qui contournent le MFA

de

On 28/02/2022

dans Malware, Ransomware

L’authentification multifactorielle (MFA) est l’un des moyens les plus efficaces de lutter contre le phishing, jusqu’à présent. Récemment, de nouvelles attaques et des kits de phishing-as-a-service sont apparus, permettant de contourner cette authentification.

Selon un rapport de Kaspersky, 0,18 % des spams et des attaques de phishing dans le monde ont été reçus en Suisse, ce qui ne fait pas de notre pays le plus ciblé au monde, mais cette menace reste une des menaces en matière de cybercriminalité la plus fréquemment signalée. En outre, les kits d’hameçonnage qui contournent le MFA se multiplient rapidement.

Ces kits vont d’un simple code à des produits très avancés, capables de voler des informations d’identification, des jetons MFA et d’autres informations sensibles.

Les attaques de phishing qui contournent le MFA commencent par un phishing de consentement. En général, l’utilisateur reçoit un courriel d’une « connaissance » avec un partage de fichiers. En cliquant sur le lien, l’e-mail demande à l’utilisateur l’autorisation d’accéder à ses informations. Habitué à accepter les « termes et conditions » d’absolument tout et à ne pas faire confiance à l’expéditeur du courriel, l’utilisateur accepte ces permissions. C’est alors que le criminel saisit le jeton de consentement, obtenant ainsi l’accès au compte de l’utilisateur.

En outre, ces kits d’hameçonnage mettent en œuvre des reverse proxy qui permettent aux attaquants de s’insérer dans des sessions de navigateur existantes. Ensuite, pendant que la victime visite un site Web légitime (comme celui d’une banque ou d’une boutique en ligne), l’attaquant observe l’activité à tout moment et peut voler les cookies de session. Ces cookies peuvent ensuite être utilisés pour accéder à des comptes sans besoin du nom d’utilisateur, mot de passe ou jeton MFA.

Bien qu’il soit impossible de garantir une sécurité totale sur Internet, il est possible de suivre certaines directives pour éviter de tomber dans ce type d’hameçonnage, notamment les suivantes :

  • Examinez attentivement les liens.
  • Confirmez les expéditeurs d’e-mails et leur origine légitime.
  • En cas de doute, confirmez : la plupart des courriels d’hameçonnage proviennent d’expéditeurs « dignes de confiance » mais sont en réalité des cybercriminels qui se font passer pour des contacts connus. Si l’utilisateur a des doutes, posez des questions.

Plus d’information:
https://securelist.com/spam-and-phishing-in-2021/105713/
https://www.lmgsecurity.com/new-phishing-as-a-service-kits-bypass-mfa-heres-what-to-do-next/

Une faille dans l’algorithme de chiffrement du ransomware Hive permet de récupérer les données chiffrées

de

On 28/02/2022

dans Chiffrement, Ransomware, Sécurité

Quatre chercheurs de l’université Kookmin en Corée du Sud ont découvert une vulnérabilité dans l’algorithme de chiffrement du ransomware qui permet d’obtenir la clé maîtresse et de récupérer les informations détournées.

Hive est une famille de ransomware relativement récente. Les premières attaques ont été signalées en juin 2021 et, bien que Hive n’existe que depuis peu, elle est considérée comme l’une des familles de ransomware les plus lucratives de l’année écoulée.

Cela peut s’expliquer par une technique d’extorsion très agressive appliquée par le malware. Contrairement aux ransomwares ordinaires qui ne chiffrent que les fichiers, celui-ci réalise une « double extorsion » : d’une part, les informations sont détournées grâce au chiffrement qu’il applique aux fichiers de la victime. D’autre part, le malware menace les victimes de publier les informations volées sur sa page publique HiveLeaks.

Hive Ransomware - Decryption, removal, and lost files recovery (updated)
Entreprise touchée par Hive

Comme d’habitude, le logiciel malveillant et son infrastructure sont proposés comme un service (Ransomware-as-a-Service).

Accès à la console d’administration de Hive

Le groupe utilise différents vecteurs d’attaques pour sa propagation : campagnes de malspam, serveurs RDP compromis ou informations d’identification VPN compromises, entre autres.

Mais la bonne nouvelle aujourd’hui est que quatre chercheurs de l’université de Corée du Sud ont trouvé une méthode pour déchiffrer les informations détournées par le logiciel malveillant.

Giyoon Kim, Soram Kim, Soojin Kang et Jongsung Kim travaillent dans les domaines de la sécurité des informations et de la cryptographie mathématique. Dans leur article, ils expliquent comment fonctionne l’algorithme de chiffrement du ransomware et comment ils ont réussi à récupérer la clé maîtresse :

Fonctionnement du ransomware

Flux du fonctionnement
  1. Génération de la clé maîtresse : Hive génère 10MiB d’informations aléatoires qui seront utilisées comme clé maîtresse et flux de clés pour chiffrer les données.
  2. Chiffrement de la clé maîtresse : la clé maîtresse est chiffrée à l’aide d’une clé publique RSA-2048-OAEP qui est fixée dans l’échantillon. La clé cryptée ‘base64url_MD5_of_the_master_key.key.hive’ est stockée dans ‘C:\’ si le ransomware dispose de privilèges d’administrateur ou dans ‘C:\UsersAppDataLocalVirtualStore’ sinon.
  3. Pour rendre difficile la récupération de toute information, les processus et services qui pourraient être en cours d’exécution sont arrêtés : mspub, msdesktop, bmr, sql, oracle, postgres, redis, vss, backup, sstp.
  4. Création de fichiers batch : les fichiers « hive.bat » et « shadow.bat » sont générés, dans le but d’éliminer respectivement les preuves et les éventuelles sauvegardes. À la fin de leur exécution, les fichiers .bat s’effacent d’eux-mêmes.
  5. Création de la note de rançon : avec des informations pour la victime sur la façon de déchiffrer ses fichiers.
  6. Chiffrement des fichiers : en fonction des privilèges d’exécution du malware, tous les fichiers de la machine seront chiffrés, à l’exception de ceux nécessaires au fonctionnement du système d’exploitation.
  7. Destruction de la clé maîtresse.
  8. Suppression des informations résiduelles : le malware effectue plusieurs cycles d’écriture et d’effacement sur le disque, ce qui rend impossible la récupération des fichiers résiduels.

L’algorithme de chiffrement de Hive

Hive utilise un algorithme propriétaire qui utilise une clé maîtresse à partir de laquelle deux clés de chiffrement sont générées et utilisées pour chiffrer les informations.

Les chercheurs ont découvert que l’algorithme réutilisait partiellement ces clés lors du chiffrement de plusieurs fichiers. Cela leur a permis de trouver les équations pour obtenir le passe-partout. Il suffit d’un fichier original non chiffré ou de plusieurs fichiers chiffré dont la signature est connue, tels que des fichiers .pdf, .xlsx ou .hwp.

Bien qu’aucun logiciel officiel n’ait encore été publié pour récupérer ces informations, plusieurs POC ont été réalisées avec succès.

Tous les détails du processus de déchiffrement et de la manière dont il pourrait être automatisé se trouvent dans l’article publié par l’université.

Plus d’information:
https://arxiv.org/pdf/2202.08477.pdf

La vulnérabilité Log4j, exploitée dans VMware Horizon pour le déploiement de ransomware

de

On 24/02/2022

dans CVE, Ransomware, Sécurité

Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.

Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.

Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.

Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.

Plus d’information:
https://kb.vmware.com/s/article/87073
https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html

Page 5 of 8

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén