Les chercheurs attribuent deux attaques ciblées de ransomwares au groupe de piratage Lazarus

Lazarus VHD Ransomware

Hollywood voudrait vous faire croire que les pirates informatiques adolescents portant des chandails à capuchon peuvent faire tomber des géants d'entreprise entiers valant des milliards de dollars à cause de l'inconfort du sous-sol de leurs parents. Dans le monde réel, cependant, les choses ne fonctionnent pas vraiment de cette façon. Les cyberattaques sophistiquées sont menées par des criminels expérimentés qui ont beaucoup de ressources à leur disposition.

Les campagnes de ransomware ciblant des organisations spécifiques sont des opérations extrêmement compliquées qui impliquent souvent plusieurs équipes de piratage distinctes qui travaillent toutes sur des tâches différentes. Une équipe, par exemple, serait chargée de fournir l'infrastructure de commandement et de contrôle (C&C), une deuxième compromettrait le réseau de la victime, une troisième garantirait que le plus grand nombre d'ordinateurs possible sont infectés et une quatrième serait responsable de la charge utile réelle du ransomware. Les chercheurs de Kaspersky ont décrit le système plus en détail dans un article de blog mardi, mais ils ont également mentionné quelques exceptions à la règle.

Le ransomware VHD attire l'attention des experts

La charge utile des deux cyberattaques décrites par les experts de Kaspersky était le ransomware VHD - un malware de chiffrement de fichiers relativement nouveau apparu il y a quelques mois. Le ransomware lui-même n'est pas particulièrement sophistiqué. Il parcourt les disques durs des hôtes infectés, crypte les fichiers avec une combinaison d'AES et RSA et supprime les points de restauration du système afin de rendre la récupération des données plus difficile. Cependant, plusieurs caractéristiques des attaques ont attiré l'attention des chercheurs.

Le premier a été lancé en mars et les experts ont remarqué qu'il s'agissait d'un mécanisme très intéressant de diffusion à travers le réseau de la victime. À l'aide d'un outil automatisé, les pirates ont utilisé une liste d'informations d'identification SMB spécifiques à la victime pour se frayer un chemin vers d'autres ordinateurs, et après s'être connectés avec succès à eux, ils ont copié une charge utile de ransomware VHD et l'ont exécutée via des appels WMI.

Ce ne sont pas les techniques qu'une équipe de piratage ordinaire utiliserait, et les experts savaient qu'ils cherchaient probablement quelque chose de plus sérieux. Ils ont ressenti la même chose quelques mois plus tard lorsqu'ils ont été appelés pour répondre à une autre attaque mettant en vedette le ransomware VHD.

Cette fois, le point d'entrée initial était une passerelle VPN vulnérable à travers laquelle les pirates ont obtenu des privilèges administratifs et déployé une porte dérobée. Après avoir compromis le serveur Active Directory de la victime, les criminels ont ensuite distribué des copies du ransomware VHD à un nombre non spécifié d'ordinateurs.

Lorsqu'ils ont examiné de plus près la porte dérobée, les chercheurs ont réalisé de quoi il s'agissait exactement.

La connexion Lazarus

Le sou a chuté lorsque les chercheurs ont déterminé que la porte dérobée utilisée lors de la deuxième attaque était une instance de ce qu'ils appellent le framework de malware MATA.

Nous avons parlé dans le passé de la difficulté d'attribution dans le monde de la cybersécurité, mais après l'avoir étudié avec soin, les experts de Kaspersky sont à peu près certains que le framework MATA a été créé et est utilisé par le tristement célèbre groupe de piratage Lazarus.

Lazarus est une équipe de pirates sophistiqués responsables de quelques cyberattaques massives, y compris la fuite Sony de 2014 et le lancement de l'essuie-glace OlympicDestroyer qui a paralysé l'infrastructure informatique critique avant les Jeux olympiques d'hiver de Pyeongchang en 2018. Lazarus serait lié à le gouvernement nord-coréen, et son nom a été associé à tout, des attaques à motivation financière aux grandes campagnes de cyberespionnage. Selon Kaspersky, le ransomware VHD est leur dernière création.

Le ransomware n'est peut-être pas particulièrement sophistiqué, mais il n'a été observé dans aucune autre attaque, et les chercheurs sont à peu près certains que les pirates ne le louent pas à un autre gang de cybercriminalité. Dans le même temps, ils sont à peu près sûrs que Lazarus est le seul équipage à avoir accès aux outils et techniques utilisés lors des attaques de mars et mai.

Au lieu de partager les bénéfices avec d'autres équipes de cybercriminalité, Lazarus a décidé de se lancer seul avec le ransomware VHD. Seul le temps nous dira si ce sera une bonne stratégie, mais, compte tenu de l'illustre portefeuille de cyberattaques perturbatrices du groupe, nous ne parierons pas contre elle. Si vous dirigez une organisation qui pourrait être ciblée par Lazarus, vous devez vous assurer qu'une attaque de ransomware utilisant le ransomware VHD est dans votre modèle de menace.

Par Duran
July 29, 2020
News
Français
July 29, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.