Moneybird Ransomware utilisé dans des attaques contre des entités israéliennes

ransomware

Agrius, un groupe de piratage iranien également connu sous le nom de Pink Sandstorm et anciennement Americium, a développé un nouveau type de rançongiciel appelé Moneybird. Les chercheurs de CheckPoint ont découvert ce logiciel malveillant dangereux, ce qui signifie un changement significatif dans la tactique d'Agrios car ils ciblent désormais les organisations israéliennes.

Agrius a l'habitude de mener des attaques destructrices d'effacement de données contre des entités israéliennes, les déguisant souvent en infections de rançongiciels. Le développement de Moneybird, programmé en C++, met en valeur les compétences croissantes du groupe et son engagement continu à créer de nouveaux outils cyber.

Depuis au moins décembre 2020, Agrius a été associé à des intrusions perturbatrices visant les industries du diamant en Afrique du Sud, en Israël et à Hong Kong. Dans le passé, le groupe utilisait un ransomware basé sur .NET appelé Apostle, qui a ensuite évolué vers Fantasy. Cependant, Moneybird, codé en C++, démontre les capacités cyber évolutives du groupe.

Moneybird - Propagation et activité

L'opération de rançongiciel Moneybird démontre l'expertise technique croissante d'Agrius et son dévouement au développement de nouveaux cyber-outils. Il utilise une méthodologie d'attaque sophistiquée qui commence par exploiter les vulnérabilités des serveurs Web exposés au public. Cette exploitation initiale permet le déploiement d'un shell Web ASPXSpy, qui sert de premier point d'entrée dans le réseau de l'organisation ciblée.

Une fois à l'intérieur, le shell Web agit comme un canal de communication pour fournir un ensemble d'outils bien connus conçus pour la reconnaissance approfondie, le mouvement latéral, la collecte d'informations d'identification et l'exfiltration de données sensibles dans l'environnement de la victime.

Par la suite, le rançongiciel Moneybird est déployé sur l'hôte compromis et cible spécifiquement les fichiers sensibles dans le dossier "F:\User Shares". Lors de son exécution, le ransomware laisse derrière lui une note de rançon, incitant les victimes à prendre contact dans les 24 heures ou risquer que leurs données volées soient divulguées publiquement.

Moneybird utilise AES-256 avec GCM pour le cryptage, en utilisant une technique sophistiquée qui génère des clés de cryptage uniques pour chaque fichier. Des métadonnées chiffrées sont ajoutées à la fin de chaque fichier, ce qui rend la restauration et le déchiffrement des données très difficiles, voire impossibles, dans la plupart des cas.

Que sont les Advanced Persistent Threat Actors ou APT ?

Les acteurs avancés de la menace persistante (APT) sont des acteurs sophistiqués et hautement qualifiés ou des groupes de piratage qui mènent des cyberattaques ciblées à long terme contre des organisations spécifiques, souvent avec le soutien d'États-nations ou d'entités disposant de ressources suffisantes. Les APT se caractérisent par leurs techniques avancées, leur persistance et leur intention d'infiltrer et de compromettre les systèmes ciblés pendant de longues périodes, en restant souvent non détectés.

Voici quelques caractéristiques et traits clés associés aux APT :

  • Techniques avancées : les acteurs APT utilisent des techniques de piratage avancées, notamment des exploits de type « zero-day », des logiciels malveillants personnalisés, des rootkits et des tactiques sophistiquées d'ingénierie sociale. Ils font constamment évoluer leurs méthodes pour contourner les mesures de sécurité et maintenir leur accès.
  • Persistance : les APT s'engagent à atteindre leurs objectifs et à maintenir une présence à long terme dans les systèmes compromis. Ils peuvent établir plusieurs points d'entrée, créer des portes dérobées et utiliser des canaux de communication furtifs pour maintenir la persistance.
  • Attaques ciblées : les APT se concentrent sur des cibles spécifiques, telles que les agences gouvernementales, les sous-traitants de la défense, les infrastructures critiques, les instituts de recherche ou les sociétés multinationales. Ils effectuent une reconnaissance approfondie pour recueillir des renseignements et adapter leurs attaques pour exploiter des vulnérabilités spécifiques au sein de l'infrastructure de la cible.
  • Soutien des États-nations : les APT sont souvent associées à des États-nations ou à des entités parrainées par des États à la recherche d'avantages politiques, économiques ou militaires. Ils peuvent disposer de ressources substantielles, de capacités de renseignement et de protections juridiques, leur permettant de mener des campagnes étendues et prolongées.
  • Exfiltration de données : l'un des principaux objectifs des APT est d'exfiltrer des données précieuses, y compris la propriété intellectuelle, les secrets commerciaux, les informations classifiées ou les informations personnelles identifiables (PII). Les données volées peuvent être exploitées à des fins d'espionnage, de gain économique, d'avantage concurrentiel ou de futures cyberopérations.
  • Opérations secrètes : les APT accordent la priorité au maintien d'un profil bas et à la prévention de la détection. Ils utilisent des techniques d'évasion sophistiquées, telles que des mesures anti-légales, le cryptage et l'obscurcissement pour cacher leurs activités et échapper aux systèmes de sécurité.

Des exemples de groupes APT bien connus incluent APT29 (également connu sous le nom de Cozy Bear ou The Dukes), APT28 (également connu sous le nom de Fancy Bear ou Sofacy), Equation Group, Comment Crew et Lazarus Group.

May 26, 2023
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.