Ransomware : ces logiciels malveillants ouvrent la voie aux attaquants

Ransomware : ces logiciels malveillants ouvrent la voie aux attaquants

L’époque où les groupes de ransomware opéraient en lançant des campagnes de spam de masse par e-mail dans l’espoir d’infecter des utilisateurs aléatoires sur Internet est révolue.

Aujourd’hui, les opérateurs de rançongiciel ont évolué en une série de cartels complexes de cybercriminalité disposant des compétences, des outils et des budgets comparables à ceux des groupes de piratage soutenus par des gouvernements.

publicité

Aujourd’hui, les groupes cybercriminels s’appuient sur des partenariats à plusieurs niveaux avec d’autres groupes de cybercriminalité. Appelés “courtiers d’accès initial” (initial access brokers), ces groupes jouent un rôle central dans écosystème cybercriminel en fournissant aux groupes de rançongiciel (et autres) l’accès à des systèmes compromis.

Constitués de terminaux RDP piratés, d’appareils réseaux en back office et d’ordinateurs infectés par des logiciels malveillants, ces systèmes compromis permettent aux groupes de rançongiciel d’accéder facilement aux réseaux d’entreprise, d’élever leurs privilèges et de chiffrer des fichiers pour ensuite exiger des rançons.

Ces courtiers d’accès initial sont un élément crucial de l’écosystème de la cybercriminalité. Aujourd’hui, trois types de courtiers se distinguent comme étant à l’origine de la plupart des attaques de rançongiciel :

  • Vendeurs d’accès RDP compromis: Les groupes de cybercriminalité mènent actuellement des attaques de force brute contre des postes de travail ou des serveurs configurés pour l’accès RDP à distance laissés exposés sur Internet avec des mots de passe faibles. L’accès à ces systèmes est ensuite vendu dans des “boutiques RDP”, où les groupes choisissent des systèmes qu’ils pensent être situés dans le réseau d’une cible de grande valeur.
  • Vendeurs d’équipements réseau piratés: Les groupes de cybercriminalité utilisent également des exploits pour des vulnérabilités connues afin de prendre le contrôle des équipements de réseau d’une entreprise, tels que les serveurs VPN, les pare-feu ou d’autres appareils en bordure de réseau. L’accès à ces dispositifs et aux réseaux internes qu’ils protègent est vendu sur des forums de piratage ou directement à des groupes cybercriminels.
  • Vendeurs d’ordinateurs infectés par des logiciels malveillants: De nos jours, de nombreux réseaux botnets analysent les ordinateurs qu’ils infectent à la recherche de systèmes connectés à des réseaux d’entreprise, puis vendent l’accès à ces systèmes de grande valeur à d’autres groupes de cybercriminalité, y compris à des groupes de rançongiciel.

Se protéger contre ces trois types de vecteurs d’accès initial est souvent le moyen le plus simple d’éviter les ransomware.

Cependant, alors que la protection contre les deux premiers vecteurs implique généralement de pratiquer de bonnes politiques de mots de passe et de maintenir l’équipement à jour, le troisième est plus difficile à gérer.

En effet, les exploitants de botnets s’appuient souvent sur l’ingénierie sociale pour pousser les utilisateurs à installer eux-mêmes des logiciels malveillants sur leurs systèmes, et ce même si les systèmes sont à jour.

Cet article se concentre sur les souches de logiciels malveillants connues qui ont été utilisées au cours des deux dernières années pour installer des ransomware.

Compilée avec l’aide des chercheurs en sécurité de Advanced Intelligence, Binary Defense et Sophos, les logiciels malveillants listés ci-dessous devraient alerter toute organisation.

Une fois que l’une de ces souches de logiciels malveillants est détectée, les administrateurs système devraient en faire leur priorité, mettre les systèmes affectés hors ligne, et supprimer le logiciel malveillant.

r-emotet.png

Emotet est considéré comme le plus grand réseau botnet actuel.

Il y a peu de cas où Emotet a directement vendu des accès à des groupes de ransomware, mais de nombreuses infections de ce type ont eu lieu suite aux infections initiales par Emotet.

Habituellement, Emotet vend l’accès à ses systèmes infectés à d’autres groupes de logiciels malveillants, qui revendent ensuite leur propre accès à des groupes de ransomware.

Aujourd’hui, la chaîne d’infection la plus courante liée à Emotet est celle des logiciels malveillants : Emotet-Trickbot-Ryuk

r-trickbot.png

Trickbot est un réseau botnet similaire à Emotet. Trickbot infecte ses propres victimes mais est également connu pour acheter l’accès à des systèmes infectés par Emotet afin d’augmenter le nombre des appareils infectés au sein de son botnet.

Au cours des deux dernières années, les chercheurs en sécurité ont vu Trickbot vendre l’accès à ses systèmes à des groupes de cybercriminalité qui ont ensuite déployé Ryuk, puis le logiciel de rançon Conti.

Trickbot-Conti Trickbot-Ryuk

r-bazar.png

BazarLoader est actuellement soupçonné d’être une backdoor (porte dérobée) modulaire développée par un groupe ayant des liens avec le groupe Trickbot. Quoi qu’il en soit, quelle que soit leur origine, le groupe suit le modèle de Trickbot et s’est déjà associé à des groupes de ransomware pour donner l’accès aux systèmes qu’ils infectent.

Actuellement, BazarLoader est considéré comme le point d’origine des infections par le ransomware Ryuk [1, 2, 3].

BazarLoader-Ryuk

r-qbot.png

QakBot, Pinkslipbot, Qbot, ou Quakbot est parfois consideré au sein de la communauté de la sécurité informatique comme un “Emotet plus lent” parce qu’il imite les evolutions d’Emotet, mais quelques mois plus tard.

Si le groupe Emotet a permis que ses systèmes soient utilisés pour déployer des ransomware, QakBot s’est également associé récemment à différents groupes de ce type. Tout d’abord avec MegaCortex, puis avec ProLock, et actuellement avec le groupe Egregor.

QakBot-MegaCortex QakBot-ProLock QakBot-Egregor

r-sdbbot.png

SDBBot est une souche de logiciel malveillant exploitée par un groupe de cybercriminalité appelé TA505.

Ce n’est pas une souche de logiciel malveillant courante, mais il a été vu comme le point d’origine des incidents où le ransomware Clop a été déployé.

SDBBot-Clop

r-dridex.png

Dridex est un autre cheval de Troie bancaire qui s’est réorienté pour devenir un “loader (téléchargeur) de logiciels malveillants”, suivant l’exemple d’Emotet et Trickbot en 2017.

Si, par le passé, le réseau botnet Dridex a été utilisé pour diffuser des campagnes de spam visant à distribuer le ransomware Locky à des internautes au hasard, depuis quelques années, il utilise également des ordinateurs qu’il a infectés pour déployer les ransomware BitPaymer ou DoppelPaymer afin de mener des attaques plus ciblées contre des cibles de grande valeur.

Dridex-BitPaymer Dridex-DoppelPaymer

r-zloader.png

Arrivant tardif dans l’écosystème du ransomware, Zloader rattrape son retard et a déjà établi des partenariats avec les opérateurs des ransomware Egregor et Ryuk.

S’il y a un groupe cybercriminel qui a la capacité et les connexions pour se développer, c’est bien celui-ci.

Zloader-Egregor Zloader-Ryuk

r-buer.png

Buer, ou Buer Loader, est un groupe malveillant lancé à la fin de l’année dernière, mais qui a déjà établi une réputation et des connexions dans l’écosystème cybercriminel lui permettant de travailler avec des groupes de ransomware.

Selon Sophos, certains incidents où le ransomware Ryuk a été découvert ont été liés à des infections de Buer quelques jours auparavant.

Buer-Ryuk

r-phorpiex.png

Phorpiex, ou Trik, est l’un des plus petits réseaux botnets, mais pas le moins dangereux.

Les infections par le ransomware Avaddon observées plus tôt cette année ont été liées à Phorpiex. Bien que ni Avaddon ni Phorpiex ne soient logiciels malveillants les plus communs, ils doivent être traités avec la même attention que Emotet, Trickbot et les autres.

Phorpiex-Avaddon

r-cobalt.png

CobaltStrike n’est pas un botnet ou un logiciel malveillant. Il s’agit en fait d’un outil de test d’intrusion développé pour les chercheurs en cybersécurité. Mais il est également souvent utilisé de manière abusive par les groupes cybercriminels.

Les entreprises ne sont pas “infectées” par CobaltStrike. Cependant, de nombreux groupes de ransomware utilisent des composants CobaltStrike dans le cadre de leurs intrusions.

Cet outil est souvent utilisé comme un moyen de contrôler plusieurs systèmes à l’intérieur d’un réseau interne et comme une première étape de reconnaissance avant l’attaque réelle par ransomware.

La plupart des chaînes d’infection énumérées ci-dessus pourraient d’ailleurs être en fait décrites comme [Botnet]-CobaltStrike-[Ransomware], CobaltStrike servant généralement d’intermédiaire le plus courant entre les deux.

Nous avons inclus CobaltStrike sur notre liste à la demande de nos sources, qui le considèrent comme aussi dangereux qu’un logiciel malveillant. Si vous le voyez sur votre réseau et que vous ne faites pas de test d’intrusion, alors arrêtez tout ce que vous faites, mettez les systèmes hors ligne et vérifiez tout pour détecter le point d’entrée d’une éventuelle attaque.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *