learn.hack.repeat

Étiquette : Ransomware Page 6 of 8

La 5ème vague

de

On 18/02/2022

dans Chiffrement, Ransomware, Sécurité

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Le FBI prévient que le ransomware BlackByte cible les infrastructures critiques

de

On 15/02/2022

dans Chiffrement, Ransomware, Sécurité

Le FBI a révélé que le groupe de ransomware BlackByte a accédé au réseau d’au moins trois organisations appartenant aux secteurs des infrastructures critiques américaines au cours des trois derniers mois.

BlackByte est un groupe qui propose le service Ransomware as a Service (RaaS). Ils sont dédiés au chiffrement des fichiers compromis sur les machines Windows, y compris les serveurs physiques et virtuels.

Les agences de cybersécurité recommandent les mesures suivantes pour atténuer les attaques de BlackByte et de tout autre attaquant de logiciels aléatoires :

  • Mettez en place des sauvegardes régulières, de sorte que les sauvegardes se trouvent à un endroit différent et ne puissent pas être supprimées de la source de données d’origine.
  • Mettez en place une segmentation du réseau, en empêchant toutes les machines du réseau d’être accessibles depuis n’importe quelle autre machine.
  • Installez les mises à jour et les correctifs du système d’exploitation, des logiciels et des micrologiciels dès qu’ils sont publiés.
  • Examinez les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires pour détecter les comptes d’utilisateur nouveaux ou non reconnus.
  • Auditer les comptes d’utilisateurs disposant de privilèges d’administrateur et configurer les contrôles d’accès en tenant compte des privilèges minimums requis. N’accordez pas les privilèges d’administrateur à tous les utilisateurs.
  • Désactivez les ports d’accès à distance (RDP) inutilisés et surveillez les journaux d’accès à distance pour détecter toute activité inhabituelle.
  • Désactiver les liens hypertextes dans les courriers électroniques entrants.
  • Utilisez l’authentification à deux facteurs lorsque vous vous connectez à des comptes ou à des services.

Entre autres mesures, celles-ci sont faciles à mettre en œuvre et augmentent considérablement la sécurité de l’infrastructure.

Plus d’information:
https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/

Microsoft désactive l’installateur MSIX pour éviter les abus

de

On 10/02/2022

dans CVE, Malware, Sécurité

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

DeadBolt, un nouveau ransomware contre les NAS de QNAP

de

On 31/01/2022

dans Malware, Ransomware, Sécurité

QNAP a publié une déclaration invitant les utilisateurs de NAS à prendre des mesures immédiates pour éviter que leurs appareils ne soient infectés par un nouveau ransomware.

Un nouveau logiciel malveillant appelé DeadBolt a été détecté et cible les appareils NAS du fournisseur taïwanais QNAP. Le ransomware crypte les données des utilisateurs et exige une rançon de 0,03 bitcoins (environ 1 070 CHF) pour les récupérer.

Message affiché sur un appareil infecté par DeadBolt.

Le ransomware exploiterait une vulnérabilité de type 0-day inconnue du fabricant. Les développeurs de ce malware communiquent dans le message de blocage affiché après l’infection de l’appareil, qu’ils sont prêts à vendre à QNAP les détails spécifiques de cette vulnérabilité pour 5 Bitcoins (environ 171 000 euros). Ils sont également prêts à donner la clé maîtresse qui permettrait de décrypter les données de tous les appareils concernés pour 50 bitcoins.

Message des développeurs de DeadBolt à QNAP.

QNAP Systems, Inc. a émis une alerte de sécurité demandant à tous les utilisateurs de ses périphériques NAS de suivre une série d’instructions pour activer les protections de sécurité du périphérique et mettre immédiatement à jour le QTS avec la dernière version disponible.

Si le NAS est exposé à Internet et que le service de gestion du système est directement accessible depuis une adresse IP externe, les paramètres suivants sont recommandés :

  • Désactivez la fonction de transfert de port du routeur.
    Dans l’interface d’administration du routeur, dans les paramètres Serveur virtuel, NAT ou Transfert de port, désactivez l’option de transfert de port du port de service de gestion du NAS (port 8080 et 443 par défaut).
  • Désactiver la fonction de transfert de port UPnP du NAS.
    Depuis myQNAPcloud dans le menu QTS, dans la section « Auto Router Configuration », désactivez la sélection « Enable UPnP Port forwarding ».
Configuration de myQNAPcloud.

Ces mesures doivent être prises à titre préventif pour éviter l’infection par DeadBolt. Si le NAS est déjà affecté, la mise à niveau vers la dernière version ou la réinitialisation des paramètres d’usine n’éliminera pas le ransomware, comme le signalent de nombreux utilisateurs sur les forums d’assistance QNAS.

Il est recommandé d’appliquer les mises à jour et les paramètres recommandés par le fabricant pour éviter l’infection par des logiciels malveillants et la perte consécutive du contenu stocké sur le NAS.

Plus d’information:
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together

Un nouveau ransomware chiffre des fichiers avec WinRAR pour contourner les protections

de

On 24/11/2021

dans Chiffrement, Sécurité

Le nouveau ransomware utilisé par « Memento Team » utilise le célèbre programme de compression WinRAR pour chifrer les fichiers de l’ordinateur à l’aide d’un mot de passe, après quoi il supprime les fichiers originaux.

L’équipe des Sophos Labs a découvert un nouveau type de ransomware écrit en Python 3.9, qui utilise une curieuse méthode pour contourner certaines mesures de sécurité des ransomwares : au lieu de chiffrer les fichiers à l’aide d’outils propriétaires, il utilise une version gratuite de WinRAR pour chiffrer les fichiers vers un nouveau fichier avec un mot de passe, puis chiffrer le mot de passe et enfin supprimer les fichiers originaux.

Pour son installation, le malware utilise PyInstaller, un moyen de créer des paquets Python multiplateformes. Cependant, la menace vise les machines Windows et utilise des outils supplémentaires du dépôt d’Impacket, tels que wmiexec pour un shell distant ou secretsdump pour obtenir des informations d’identification. Une vulnérabilité critique découverte dans VMWare, dont nous avons parlé en février de cette année, est utilisée comme vecteur d’attaque.

Outre ces outils, l’attaque ciblée utilise d’autres programmes, que les attaquants ont même laissés sur les machines infectées, tels que Plink SSH pour créer des tunnels SSH, Nmap pour analyser le réseau, Npcap pour capturer le trafic réseau ou Mimikatz pour voler des informations d’identification. Grâce à ces outils, les attaquants parviennent à se déplacer latéralement dans le réseau pour continuer à infecter d’autres machines. Pour assurer la persistance, ils utilisent un fichier batch (‘wincert.bat’) et une tâche système planifiée (appelée ‘Windows Defender Metadata Monitor’).

Enfin, après avoir réussi à crypter les fichiers, les attaquants placent sur la machine un fichier appelé « Hello Message.txt » contenant des instructions sur la manière de récupérer les fichiers. Dans l’attaque analysée par Sophos, le montant demandé était de 15,95 BTC. 897656,43 $ ou 840852,73 CHF au moment de la rédaction du présent rapport. Un numéro de téléphone Telegram et une adresse ProtonMail sont donnés pour le paiement.

Bien que les attaques par ransomware soient de plus en plus courantes, ces attaques portant sur de grosses sommes d’argent n’ont tendance à se produire que dans le cadre d’attaques ciblées où les attaquants connaissent la taille de l’entreprise et le montant qu’elle peut se permettre de payer pour la rançon. C’est pourquoi, en particulier pour ces organisations, nous recommandons de commencer par une politique de sauvegarde de tous vos fichiers. Toutefois, cela ne suffit pas.

Certains attaquants, après avoir refusé de payer la rançon, vont jusqu’à menacer de rendre publics les fichiers volés. Dans des cas comme celui-ci, où la vulnérabilité de VMWare est connue depuis 6 mois, elle pourrait être évitée en maintenant le logiciel à jour. C’est pourquoi nous recommandons toujours d’appliquer les mises à jour de sécurité.

Plus d’information:
https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/

Page 6 of 8

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén