Les chercheurs attribuent deux attaques ciblées de ransomwares au groupe de piratage Lazarus

Lazarus VHD Ransomware

Hollywood voudrait vous faire croire que les pirates informatiques adolescents portant des chandails à capuchon peuvent faire tomber des géants d'entreprise entiers valant des milliards de dollars à cause de l'inconfort du sous-sol de leurs parents. Dans le monde réel, cependant, les choses ne fonctionnent pas vraiment de cette façon. Les cyberattaques sophistiquées sont menées par des criminels expérimentés qui ont beaucoup de ressources à leur disposition.

Les campagnes de ransomware ciblant des organisations spécifiques sont des opérations extrêmement compliquées qui impliquent souvent plusieurs équipes de piratage distinctes qui travaillent toutes sur des tâches différentes. Une équipe, par exemple, serait chargée de fournir l'infrastructure de commandement et de contrôle (C&C), une deuxième compromettrait le réseau de la victime, une troisième garantirait que le plus grand nombre d'ordinateurs possible sont infectés et une quatrième serait responsable de la charge utile réelle du ransomware. Les chercheurs de Kaspersky ont décrit le système plus en détail dans un article de blog mardi, mais ils ont également mentionné quelques exceptions à la règle.

Le ransomware VHD attire l'attention des experts

La charge utile des deux cyberattaques décrites par les experts de Kaspersky était le ransomware VHD - un malware de chiffrement de fichiers relativement nouveau apparu il y a quelques mois. Le ransomware lui-même n'est pas particulièrement sophistiqué. Il parcourt les disques durs des hôtes infectés, crypte les fichiers avec une combinaison d'AES et RSA et supprime les points de restauration du système afin de rendre la récupération des données plus difficile. Cependant, plusieurs caractéristiques des attaques ont attiré l'attention des chercheurs.

Le premier a été lancé en mars et les experts ont remarqué qu'il s'agissait d'un mécanisme très intéressant de diffusion à travers le réseau de la victime. À l'aide d'un outil automatisé, les pirates ont utilisé une liste d'informations d'identification SMB spécifiques à la victime pour se frayer un chemin vers d'autres ordinateurs, et après s'être connectés avec succès à eux, ils ont copié une charge utile de ransomware VHD et l'ont exécutée via des appels WMI.

Ce ne sont pas les techniques qu'une équipe de piratage ordinaire utiliserait, et les experts savaient qu'ils cherchaient probablement quelque chose de plus sérieux. Ils ont ressenti la même chose quelques mois plus tard lorsqu'ils ont été appelés pour répondre à une autre attaque mettant en vedette le ransomware VHD.

Cette fois, le point d'entrée initial était une passerelle VPN vulnérable à travers laquelle les pirates ont obtenu des privilèges administratifs et déployé une porte dérobée. Après avoir compromis le serveur Active Directory de la victime, les criminels ont ensuite distribué des copies du ransomware VHD à un nombre non spécifié d'ordinateurs.

Lorsqu'ils ont examiné de plus près la porte dérobée, les chercheurs ont réalisé de quoi il s'agissait exactement.

La connexion Lazarus

Le sou a chuté lorsque les chercheurs ont déterminé que la porte dérobée utilisée lors de la deuxième attaque était une instance de ce qu'ils appellent le framework de malware MATA.

Nous avons parlé dans le passé de la difficulté d'attribution dans le monde de la cybersécurité, mais après l'avoir étudié avec soin, les experts de Kaspersky sont à peu près certains que le framework MATA a été créé et est utilisé par le tristement célèbre groupe de piratage Lazarus.

Lazarus est une équipe de pirates sophistiqués responsables de quelques cyberattaques massives, y compris la fuite Sony de 2014 et le lancement de l'essuie-glace OlympicDestroyer qui a paralysé l'infrastructure informatique critique avant les Jeux olympiques d'hiver de Pyeongchang en 2018. Lazarus serait lié à le gouvernement nord-coréen, et son nom a été associé à tout, des attaques à motivation financière aux grandes campagnes de cyberespionnage. Selon Kaspersky, le ransomware VHD est leur dernière création.

Le ransomware n'est peut-être pas particulièrement sophistiqué, mais il n'a été observé dans aucune autre attaque, et les chercheurs sont à peu près certains que les pirates ne le louent pas à un autre gang de cybercriminalité. Dans le même temps, ils sont à peu près sûrs que Lazarus est le seul équipage à avoir accès aux outils et techniques utilisés lors des attaques de mars et mai.

Au lieu de partager les bénéfices avec d'autres équipes de cybercriminalité, Lazarus a décidé de se lancer seul avec le ransomware VHD. Seul le temps nous dira si ce sera une bonne stratégie, mais, compte tenu de l'illustre portefeuille de cyberattaques perturbatrices du groupe, nous ne parierons pas contre elle. Si vous dirigez une organisation qui pourrait être ciblée par Lazarus, vous devez vous assurer qu'une attaque de ransomware utilisant le ransomware VHD est dans votre modèle de menace.

July 29, 2020

Laisser une Réponse