Dernières attaques : les hackers sont créatifs !
L’innovation n’est pas que du côté des industriels, les cybercriminels ne manquent pas non plus d’imagination. Ils découvrent régulièrement de nouvelles méthodes d’attaques. Tour d’horizon des dernières trouvailles dans le domaine.
Sophos a rendu public un système inédit d’évasion des outils de sécurité avec une nouvelle méthode assez sophistiquée pour le déploiement et l’exploitation d’un rançongiciel, Ragnarlocker en l’occurence. Sophos précise que le groupe derrière ce rançongiciel vole habituellement des données à des victimes très ciblées comme une cible dans la distribution d’énergie au Portugal et avait volé une dizaine de Teraoctets de données menaçant de les rendre publiques à défaut d’un paiement en bitcoins équivalent à 11 M$. Auparavant le groupe passait par le protocole RDP pour poser une tête de pont dans les systèmes. Dans l’attaque détectée par Sophos, le groupe a employé un Group Policy Object ( GPO) pour utiliser la fonction installer de Microsoft débordant les paramètres de téléchargement pour installer discrètement un package MSI non signé. Dans ce package se trouve une installation assez ancienne d’une machine virtuelle Virtualbox et un fichier d’une image d’un disque virtuel. Il embarque un ransomware dédié à la victime et la note comprise dans le ransomware mentionne le nom précisément. Ces deux éléments sont ensuite copiés dans le fichier des appliances virtuelles sur le disque de la victime. D’autres éléments permettant le run de la machine virtuelle sont aussi downloadés. Un script désactive le service de détection hardware de Microsoft Shell et efface ensuite les volumes Shadow Copies pour éviter que la victime puisse restaurer ses fichiers. Le ransomware recense alors les différents disques locaux et les matériels connectés à la machine ainsi que les disques réseaux pour qu’ils soient accessibles à la machine virtuelle indûment installée. Puis un script de configuration de la machine virtuelle entre en action. Dès lors, un fichier Install. bat donne accès à tous les fichiers pour pouvoir les chiffrer. Depuis le rançongiciel, Maze utilise une stratégie proche. Dans le cas relevé, la machine virtuelle avait été installée sous Windowsw 7 mais suivait largement le processus de son concurrent !
Les hackers vont à la pêche aux victimes
Le laboratoire Threatlabz de Zscaler a constaté un fort trafic d’un site malicieux utilisant Linkedin pour bâtir un schéma d’ingénierie sociale afin de voler des identifiants d’utilisateurs et de placer des codes malicieux sur leurs postes. Les attaquants utilisaient un site légitime chez un hébergeur connu, Yola, pour stocker leur contenu malveillant. Les codes malveillants semblent en relation avec
le malware Agent Tesla et un code encore inconnu et pas encore vu en action. Le but semble être le vol d’informations et leur exfiltration via SMTP. L’appât premier consistait en une page reprenant le logo de Linkedin et offrant des emplois dans toutes les régions du monde pour une compagnie appelée « Jobfinders 3ee » . Un lien proposait de télécharger un fichier ZIP qui contenait les binaires . Net infectés. Une deuxième étape, sous la forme d’une page Linkedin, demandait encore plus d’informations personnelles comme le numéro de téléphone et le pays. L’attaque se déroule ainsi sur plusieurs étapes et vise spécifiquement des utilisateurs du réseau social professionnel Linkedin. L’exfiltration des données se réalisait sur des adresses mails spécifiques comme linkedinjob ou linkedin. office et qui semblent avoir été créées spécifiquement pour cette attaque selon les chercheurs du laboratoire. Une campagne de phishing assez analogue utilisait Wetransfer avec l’envoi d’un mail de phishing indiquant qu’un contact avait partagé un fichier via des adresses mails interceptées. Le mail comporte parfois une note indiquant que le fichier est une facture impayée par exemple. Si le destinataire souhaite télécharger le fichier, il est orienté vers une page Wetransfer, où se trouve un fichier htm ou html. S’il le télécharge, il est guidé vers un site contrefait, où il est invité à donner son nom d’utilisateur et son mot de passe pour Office365 de Microsoft par exemple. S’il le fait, ses données passent aussitôt entre les mains de l’attaquant.
Zerologon en tête du palmarès !
L’attaque la plus dangereuse durant les dernières semaines vient sans conteste de Zerologon. Ce malware exploite une vulnérabilité dans la cryptographie du processus Netlogon de Microsoft qui permet aux pirates informatiques d’attaquer les contrôleurs de domaine Microsoft Active
Directory, et ainsi de se faire passer pour un autre ordinateur, y compris le contrôleur de domaine racine. Sa sévérité est classée extrême. Microsoft a publié un patch à la fin du mois d’août dernier.
Le ransomware Ryuk utilise Zerologon pour des attaques éclairs permettant de chiffrer totalement des environnements en 5 heures. Pour aller plus vite ils utilisent des outils comme Cobalt Strike, Adfind, WMI et Powershell. L’attaque débute classiquement par un mail de phishing qui contient un chargeur du nom de Bazar. Après l’obtention de droits plus étendus par des déplacements latéraux, Ryuk vise d’abord les sauvegardes, puis agit sur les serveurs et enfin sur les postes de travail. Quand tout est prêt il lance une attaque très rapide sur le contrôleur de domaine primaire. ✖