learn.hack.repeat

Étiquette : Vulnérabilité Page 6 of 15

Conti Leaks, le quotidien d’une organisation de ransomware

de

On 15/03/2022

dans Malware, Ransomware, Sécurité

Suite au leak des chats du groupe ransomware Conti, Brian Krebs a publié sur son site une analyse des informations les plus juteuses qui en ont été extraites. Je vous fais écho de ces informations ici, mais je vous recommande vivement la lecture des articles originaux de l’auteur.

Démantèlement de Trickbot et récupération de Conti

En septembre 2022, l’Agence nationale de sécurité (NSA) a lancé une opération de grande envergure pour démanteler le botnet Trickbot. Ce réseau a été utilisé par Conti, entre autres, pour diffuser ses attaques de ransomware.

L’agence américaine a réussi à prendre le contrôle du réseau en déconnectant les nœuds des serveurs utilisés pour le contrôler. Les chats du groupe Conti révèlent des informations sur cette action de la NSA.

L’un des dirigeants de Conti, identifié par le pseudo « Hof », a commenté le sabotage du réseau. Selon son analyse, l’agence américaine doit avoir eu accès au code source du bot ou l’avoir obtenu par reverse engineering. Les bots étaient configurés de telle sorte qu’ils continuaient à fonctionner mais n’effectuaient aucune des actions pour lesquelles ils avaient été conçus. Ils ont également été empêchés de se réparer automatiquement ou de télécharger une nouvelle mise à jour qui modifierait la configuration fournie.

Malheureusement, après plusieurs semaines, le groupe Conti a réussi à reconstruire son infrastructure de logiciels malveillants et a décidé de contre-attaquer en infectant 428 hôpitaux aux États-Unis dans le but de semer la panique. Au lendemain de l’attaque, le FBI et le ministère de la sécurité intérieure ont été contraints d’organiser une conférence d’urgence avec l’industrie médicale pour faire face à la menace imminente.

La collaboration de la Russie et la chute de REvil

Les chats divulgués par ContiLeaks témoignent de la demande de coopération du FBI auprès des autorités russes. Il semble que l’objectif du FBI était d’arrêter les criminels à l’origine du botnet Trickbot. Cependant, selon des conversations internes au groupe, les autorités russes n’avaient pas vraiment l’intention de coopérer.

L’enquête a d’abord été abandonnée, puis réactivée. Toutefois, lorsqu’elle a été réactivée, l’enquête s’est concentrée sur le principal concurrent de Conti, le groupe de logiciels malveillants REvil. En janvier de cette année, le gouvernement russe a annoncé l’arrestation de 14 personnes liées à ce groupe. Selon les autorités, cette opération a été menée en réponse à une demande des responsables américains mais, comme on peut le voir, ce n’est pas tout à fait exact.

Structure et gestion interne de Conti

La publication des chats du groupe Conti révèlent de nombreuses informations sur le fonctionnement interne du groupe. Personne ne s’étonne que, compte tenu de l’ampleur des opérations qu’ils réalisent, leur structure ressemble de près à celle de toute entreprise de taille moyenne.

Selon les chats, un salaire de base de 2 000 dollars serait offert aux nouveaux membres embauchés, mais les employés seraient payés entre 5.000 et 10.000 dollars, en fonction de leur productivité. Chaque travailleur se verrait attribuer une semaine de travail de cinq jours, les semaines étant réparties de manière à ce qu’il y ait un minimum de personnel disponible 24 heures sur 24 pour répondre aux besoins de maintenance des botnets ou aux négociations entamées avec les victimes de ransomware.

Malgré le fait que Conti soit un groupe à fort impact et très efficace, l’analyse des conversations révèle un certain air de désorganisation et un manque de coordination interne, certains nœuds de botnet étant perdus faute d’avoir trouvé les ressources nécessaires dans les portefeuilles virtuels en prévision des paiements pour maintenir les VPN ou les serveurs nécessaires à la continuité de leurs opérations.

Outils OSINT

Selon le rapport Chainalysis, les bénéfices du groupe en 2021 seraient d’environ 180 millions de dollars. Conti est donc de loin le groupe de ransomware le plus performant en activité. Les leaks de chats permettent d’estimer que le nombre d’employés de l’organisation oscille entre 65 et 100 personnes. L’investissement dans les outils de sécurité et les anti-virus est très élevé. Ceux-ci sont utilisés non seulement pour les tests de détection de leurs ransomwares, mais aussi comme mesure de protection interne.

gráfica de ganancias de grupos de ransomware
Estimation des revenus des gangs de ransomware. Source Chainalysis

En outre, des conversations sont enregistrées sur la surveillance imposée aux administrateurs, validant leur activité sur les serveurs internes. Il s’agit de vérifier qu’aucune opération susceptible de mettre en péril la continuité ou la sécurité de l’opération n’est en cours. Cela provoque de nombreuses frictions entre les différents membres du groupe.

L’investissement de Conti dans les outils de renseignement Open Source (OSINT) est particulièrement remarquable. Des abonnements à Crunchbase Pro ou autre Zoominfo, fournissent des informations précieuses à l’organisation, telles que les montants assurés de plusieurs entreprises, une estimation de leurs bénéfices et les coordonnées des dirigeants et des membres du conseil d’administration.

En outre, le groupe utilise de multiples outils pour déterminer les entreprises qui se cachent derrière certaines plages d’adresses IP, si un VPN est lié à une certaine adresse IP ou non. Cela est crucial pour ses opérations, car le botnet utilisé accède à un grand nombre de systèmes, et il doit donc donner la priorité à ceux qui se trouvent dans le réseau des grandes entreprises.

Outils de pentesting et contacts divers

L’acquisition d’une licence de Cobalt Strike est également extraite des conversations de Conti. Cet outil commercial de test de pénétration n’est vendu qu’à certaines entreprises selon des critères stricts. Selon les informations examinées, le coût d’acquisition de la licence est estimé à 60.000 USD. La moitié de cette somme couvrirait le prix de l’outil, tandis que le reste irait à une entreprise légitime qui effectuerait l’achat.

En outre, des informations ont été trouvées sur des paiements versés à un journaliste et à des employés d’entreprises participant à la récupération de systèmes après une attaque par ransomware. Ainsi, Conti aurait une certaine influence dans les médias pour faire pression sur les victimes et les forcer à payer. Les employés chargés du recouvrement feraient office de négociateurs entre Conti et les entreprises victimes. L’organisation aurait alors l’assurance d’obtenir le maximum de l’entreprise extorquée en ayant à sa solde, un contact à l’interne.

Conti et la fièvre crypto

Les importantes sommes d’argent que le groupe Conti déplace lui permettent de réaliser des actions qui ne sont pas accessibles aux autres, comme faire varier à volonté la valeur de certaines crypto-monnaies. Dans une discussion intéressante entre les membres du groupe, il est question d’une opération massive visant à gonfler une crypto-monnaie qui rapporterait des bénéfices importants à l’organisation. Bien qu’il ne soit pas mentionné quelle plate-forme serait affectée, les dates semblent coïncider avec l’effondrement de la crypto Squid.

Les membres de Conti montrent également un grand intérêt pour la création de projets liés aux smart contracts. Cette approche n’est pas du tout farfelue, puisque des études ont déjà été réalisées sur l’impact « positif » qu’elles auraient sur les opérations de ransomware. Grâce à ces contrats, les victimes peuvent vérifier qu’elles recevront bien ce pour quoi elles ont accepter de payer si elles effectuent le paiement requis.

En résumé, les fuites de ContiLeaks ont fourni des informations très intéressantes sur le fonctionnement interne du plus grand groupe de ransomware actif. Reste à savoir s’il le restera après avoir vu toutes ses informations exposées, apparemment par un analyste ukrainien qui a décidé d’attaquer l’organisation après qu’elle ait publiquement affiché son soutien au gouvernement russe.

Plus d’information:
https://arxiv.org/pdf/2003.04426.pdf
https://medium.com/reserve-currency/smart-contracts-will-make-ransomware-more-profitable-part-1-a687fc370320
https://gizmodo.com/squid-game-cryptocurrency-scammers-make-off-with-2-1-m-1847972824
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-i-evasion/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-ii-the-office/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iii-weaponry/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iv-cryptocrime/

Les Anonymous déclarent la guerre au gouvernement russe

de

On 07/03/2022

dans Sécurité

Anonymous s’est exprimé dans la guerre qui secoue le monde ces jours-ci, déclarant qu’il mènera une cyberguerre contre le gouvernement russe.

Anonymous est le collectif de hackers le plus connu dans le monde de l’informatique. Ses membres sont connus sous le nom de « Anons » et portent les célèbres masques de Guy Fawkes lors de leurs apparitions.

L’annonce officielle des Anonymous a été faite le 24 février via le réseau social Twitter. Le message est actuellement affiché sur le compte du collectif.

Peu après, le groupe de pirates a signalé que le site web officiel du gouvernement russe était hors service.

Mais ils ne se sont pas arrêtés là, puisqu’en moins d’une journée, ils ont réussi à faire tomber le site web du ministère russe de la défense, en prenant également le contrôle des bases de données du site.

Une autre réalisation importante d’Anonymous a été d’infiltrer la principale chaîne de télévision qui sert de propagande au gouvernement russe. En outre, ils affirment même avoir intercepté des communications militaires, sur une fréquence de 4220 KHz.

https://twitter.com/DeepNetAnon/status/1497433491105062914?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1497433491105062914%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Funaaldia.hispasec.com%2F2022%2F03%2Fanonymous-declara-la-guerra-cibernetica-al-gobierno-ruso.html

Actuellement, les dernières nouvelles que nous avons du canal officiel de ce groupe sont qu’ils ont obtenu la base de données du ministère de l’économie.

Officieusement, sur le canal de ce groupe d’anonymes, ils affirment qu’ils s’attaquent à l’Agence spatiale fédérale russe, et menacent même directement Poutine, affirmant qu’ils vont révéler les secrets du Kremlin. Cette mesure, ainsi que les sanctions bien connues que le monde entier impose à ce gouvernement, n’est qu’une mesure de plus pour arrêter la guerre, qui cette fois est également cybernétique.

Ainsi, la cybersécurité s’immisce dans les infrastructures critiques et démontre une fois de plus qu’il n’existe pas d’informations sûres à 100 %. Il est également certain que ces attaques ne cesseront pas tant que la guerre se poursuivra, et il est certain que de nouvelles informations concernant d’autres cyberattaques contre des infrastructures russes critiques seront communiquées dans les jours à venir.

Plus d’informations :
https://twitter.com/YourAnonOne
https://twitter.com/YourAnonTV

Nouvelles attaques de phishing qui contournent le MFA

de

On 28/02/2022

dans Malware, Ransomware

L’authentification multifactorielle (MFA) est l’un des moyens les plus efficaces de lutter contre le phishing, jusqu’à présent. Récemment, de nouvelles attaques et des kits de phishing-as-a-service sont apparus, permettant de contourner cette authentification.

Selon un rapport de Kaspersky, 0,18 % des spams et des attaques de phishing dans le monde ont été reçus en Suisse, ce qui ne fait pas de notre pays le plus ciblé au monde, mais cette menace reste une des menaces en matière de cybercriminalité la plus fréquemment signalée. En outre, les kits d’hameçonnage qui contournent le MFA se multiplient rapidement.

Ces kits vont d’un simple code à des produits très avancés, capables de voler des informations d’identification, des jetons MFA et d’autres informations sensibles.

Les attaques de phishing qui contournent le MFA commencent par un phishing de consentement. En général, l’utilisateur reçoit un courriel d’une « connaissance » avec un partage de fichiers. En cliquant sur le lien, l’e-mail demande à l’utilisateur l’autorisation d’accéder à ses informations. Habitué à accepter les « termes et conditions » d’absolument tout et à ne pas faire confiance à l’expéditeur du courriel, l’utilisateur accepte ces permissions. C’est alors que le criminel saisit le jeton de consentement, obtenant ainsi l’accès au compte de l’utilisateur.

En outre, ces kits d’hameçonnage mettent en œuvre des reverse proxy qui permettent aux attaquants de s’insérer dans des sessions de navigateur existantes. Ensuite, pendant que la victime visite un site Web légitime (comme celui d’une banque ou d’une boutique en ligne), l’attaquant observe l’activité à tout moment et peut voler les cookies de session. Ces cookies peuvent ensuite être utilisés pour accéder à des comptes sans besoin du nom d’utilisateur, mot de passe ou jeton MFA.

Bien qu’il soit impossible de garantir une sécurité totale sur Internet, il est possible de suivre certaines directives pour éviter de tomber dans ce type d’hameçonnage, notamment les suivantes :

  • Examinez attentivement les liens.
  • Confirmez les expéditeurs d’e-mails et leur origine légitime.
  • En cas de doute, confirmez : la plupart des courriels d’hameçonnage proviennent d’expéditeurs « dignes de confiance » mais sont en réalité des cybercriminels qui se font passer pour des contacts connus. Si l’utilisateur a des doutes, posez des questions.

Plus d’information:
https://securelist.com/spam-and-phishing-in-2021/105713/
https://www.lmgsecurity.com/new-phishing-as-a-service-kits-bypass-mfa-heres-what-to-do-next/

Xenomorph, le nouveau malware qui menace les banques européennes

de

On 26/02/2022

dans Malware, Sécurité

Les chercheurs de ThreatFabric cataloguent un nouveau malware appelé Xenomorph qui affecte plus de 50 institutions financières européennes.

Détecté pour la première fois ce mois-ci, le malware Xenomorph est un cheval de Troie bancaire qui infecte les smartphones Android. Le virus affiche de faux écrans de connexion sur les applications bancaires mobiles pour voler les informations d’identification des clients. Ces données sont ensuite utilisées pour accéder aux comptes bancaires et voler des fonds.

Si les comptes sont protégés par une authentification en deux étapes, Xenomorph peut également intercepter les SMS contenant le code et les transmettre aux attaquants. Elle affecte actuellement 56 banques européennes et 12 portefeuilles de crypto-monnaies.

Xenomorph infecte les smartphones via une application du Google Play Store appelée Fast Cleaner qui le télécharge et l’exécute. Cette application a été téléchargée plus de 50 000 fois.

Ce malware a été baptisé Xenomorph en raison de la similitude de son code avec celui d’un autre cheval de Troie bancaire connu sous le nom d’Alien. Cependant, malgré ses liens évidents avec l’un des logiciels malveillants les plus répandus de ces deux dernières années, Xenomorph est radicalement différent d’Alien en termes de fonctionnalité.

Ce fait, en plus de la présence de fonctionnalités non implémentées et de la grande quantité de logs présents dans le malware, peut suggérer qu’il s’agit d’un nouveau projet en cours par les acteurs responsables de l’Alien original, ou au moins par quelqu’un qui connaît bien sa base de code. Toutefois, il ne s’agit que de spéculations à ce stade.

Les chercheurs de ThreatFabric, d’après leur expérience dans ce type de menace bancaire, affirment que le malware est en phase de développement car certaines commandes du virus ne sont pas encore implémentées. Il s’agit actuellement d’un cheval de Troie bancaire Android moyen avec beaucoup de potentiel inexploité, qui pourrait être mis à jour très prochainement.

Les cibles du Xenomorph :

Plus d’information:
https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html

Nouveau 0-day dans Google Chrome

de

On 21/02/2022

dans CVE, Sécurité

Google a publié lundi dernier une nouvelle version de son navigateur Google Chrome qui applique plusieurs correctifs de sécurité corrigeant huit vulnérabilités, dont une vulnérabilité élevée qui est actuellement activement exploitée, étant la première vulnérabilité de type 0-day corrigée par le géant de l’Internet en 2022.

Les vulnérabilités de sécurité (CVE-2022-0603, CVE-2022-0604, CVE-2022-0605, CVE-2022-0606, CVE-2022-0607, CVE-2022-0608, CVE-2022-0609) présentent un risque élevé tandis que la vulnérabilité (CVE-2022-0610) présente un risque moyen.

Google reconnaît avoir eu connaissance de rapports faisant état de l’existence d’un exploit pour CVE-2022-0609, qui est utilisé dans des attaques actuellement en cours. Adam Weidemann et Clément Lecigne du groupe d’analyse des menaces (TAG) de Google sont responsables de la découverte et du signalement de la vulnérabilité.

L’accès aux détails de la vulnérabilité est actuellement restreint.

Google recommande de passer à la version stable 98.0.4758.102 pour Windows, Mac et Linux, qui sera déployée dans les jours/semaines à venir.

La liste complète des modifications apportées à cette version est disponible dans le journal des modifications.

Plus d’information: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://blog.google/threat-analysis-group/
https://sites.google.com/a/chromium.org/dev/Home/chromium-security

Page 6 of 15

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén