Tendances des malwares : rapport d’octobre 2020

Avantages pour l’IT, Détection de Menaces

Ce rapport mensuel réalisé avec du recul, reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et reverse-engineering de malwares. Il a pour but de vous aider à mieux comprendre les évolutions des menaces en circulation et à adapter vos défenses en fonction.

Présentation du malware Ryuk

[1] Ryuk est un malware découvert en août 2018. Il se distingue des autres types de ransomwares, comme WannaCry, par le caractère ciblé de ses victimes. Ryuk a été conçu de sorte à obliger l’attaquant à accorder toute son attention à chacune de ses victimes.

Les variantes connues de Ryuk présentent deux méthodes d’infection principales : l’utilisation d’e-mails de spear-phishing spécifiques, qui ciblent généralement un membre bien précis d’une entreprise, et l’utilisation d’identifiants obtenus au préalable pour accéder à des appareils internes par le biais du télétravail.

[2] Depuis peu, Ryuk utilise l’exploit Zerologon (CVE-2020-1472), qui permet aux cybercriminels d’élever leurs privilèges bien plus rapidement qu’avec les autres méthodes. Par conséquent, l’attaquant utilise souvent le mot de passe du contrôleur de domaine principal pour se déplacer latéralement vers les autres contrôleurs de domaine et s’en servir afin de diffuser le ransomware dans tout le réseau.

Présentation de l’APT de Silent Librarian

[3] Silent Librarian, aussi connu sous le nom de COBALT DICKENS ou TA407, est un groupe de hackers qui tire parti du spear phishing pour attaquer des universités, principalement aux États-Unis, mais aussi dans d’autres parties du monde. Il s’intéresse particulièrement au personnel administratif et aux étudiants, car son objectif est de s’emparer de données de recherche académiques.

Basé en Iran et probablement financé par le gouvernement du pays, le groupe illustre la volonté de la République islamique de rester au fait des développements scientifiques internationaux en dépit des lourdes sanctions auxquelles elle est soumise.

Pour leurrer ses victimes, Silent Librarian utilise des noms de domaine très proches de ceux des universités. La seule différence réside dans le nom du domaine de premier niveau.

Par exemple, le nom de domaine de l’Université Western Ontario est « login.proxy1.lib.uwo.ca » et les attaquants utilisent le domaine « login.proxy1.lib.uwo.ca.sftt.cf ». Autre exemple, le nom de domaine de la bibliothèque principale de l’Université d’Adélaïde est « library.adelaide.edu.au » et les attaquants utilisent le domaine « library.adelaide.crev.me ». Le site de phishing se présentait comme suit :

Silent Librarian s’appuie sur le service Cloudflare pour masquer l’origine de l’hébergement, car les attaquants du groupe ont tendance à utiliser des infrastructures basées dans leur propre pays, probablement en raison de difficultés à obtenir ces infrastructures à l’étranger.

Présentation du malware Mekotio

Mekotio est un cheval de Troie bancaire vu sur les réseaux pour la première fois en 2015. Les chevaux de Troie bancaires ont gagné en popularité ces dernières années, notamment en raison des gains financiers élevés qu’ils permettent d’obtenir en cas de réussite de l’attaque.

[4] Pour passer entre les mailles des antivirus et solutions EDR, les chevaux de Troie bancaires doivent évoluer en permanence, et Mekotio en constitue la parfaite illustration. Ce cheval de Troie d’origine latino-américaine fait non seulement évoluer ses fonctionnalités régulièrement, mais on pense également que plusieurs variantes sont développées en parallèle en permanence. Mekotio est principalement diffusé par le biais de spams envoyés par e-mail et utilise différents outils de chargement.

Au cours de ses attaques, il affiche des fenêtres contextuelles conçues avec soin et ciblant les banques latino-américaines. Son but ? Recueillir des informations sensibles. Il dispose de fonctionnalités de reconnaissance avancées lui permettant d’identifier les configurations des pare-feu, la version de Windows, les solutions de sécurité installées et la possession ou non par l’utilisateur actuel de privilèges d’administrateur. Il utilise par ailleurs des techniques standard pour assurer sa persistance, notamment des clés du Registre ou le dossier Démarrer de Windows.

Il dispose de plusieurs autres fonctionnalités intéressantes, en plus de fonctions classiques comme l’enregistrement de la frappe et de captures d’écran, notamment l’exfiltration des identifiants enregistrés dans Google Chrome, le vol des cryptomonnaies en remplaçant des chaînes du presse-papier et la destruction partielle de données par la suppression de fichiers et dossiers dans les répertoires système.

En raison des différences entre les systèmes bancaires des différents pays, les chevaux de Troie bancaires se concentrent habituellement chacun sur une région qui leur est propre. Mekotio ne fait pas exception à la règle. Les banques latino-américaines sont ses principales victimes, mais il est aussi connu pour s’être attaqué à des dizaines de victimes au Brésil, au Chili, au Mexique et au Pérou.

Détections réalisées par Varonis

Varonis DatAlert dispose de plusieurs modèles de menaces permettant d’identifier les variantes de malwares mentionnées à différents moments :

  • « Activité de chiffrement détectée» : détecte la création de notes de rançon sur un serveur de fichiers ou un dépôt de données dans le cloud.
  • « Schéma immédiat détecté : les actions de l’utilisateur ressemblent à du ransomware» : détecte le processus de chiffrement de fichiers sur un serveur de fichiers sans avoir besoin de liste des noms ou extensions de fichier de ransomware connus, ce qui permet de détecter de nouvelles variantes des ransomwares/destructeurs de données.
  • « Comportement anormal : quantité inhabituelle de données envoyées à des sites Web externes» : détecte l’envoi des données collectées à un site Web ne faisant pas partie du domaine de l’organisation en examinant la quantité d’informations envoyées.
  • « Attaque de phishing potentielle : accès à un site risqué dont le nom de domaine inclut des caractères inhabituels» : détecte l’accès par un utilisateur à un site Web pouvant contenir un malware en s’appuyant sur la présence de caractères inhabituels dans son URL.
  • « E-mail suspect : réception d’un e-mail suspect comportant une pièce jointe potentiellement malveillante» : détecte les cas où une pièce jointe à un e-mail peut contenir du code malveillant ou un lien vers un site Web malveillant.

Témoignage du mois d’Octobre

Un des clients de Varonis, une entreprise du secteur de la chimie basée aux États-Unis et comptant des milliers d’employés, a été victime d’un incident lié au ransomware NetWalker.

Vers la fin septembre, notre équipe d’investigation a contacté d’elle-même le client, car nos systèmes de détection des menaces signalaient qu’il était potentiellement en train de subir une attaque discrète par un ransomware.

Au cours de l’enquête, il est apparu que le compte d’un des utilisateurs d’O365 du client était compromis, ce qui avait permis au hacker d’accéder au réseau sur site.

Au sein du réseau, l’attaquant était parvenu à compromettre un compte de service qui avait ensuite été utilisé pour exécuter Cobalt Strike et le ransomware NetWalker.

Notre équipe a aidé le client en :

  • utilisant Varonis pour analyser avec lui les alertes et s’assurer que rien n’avait été oublié ;
  • associer les phases connues de l’attaque avec les événements granulaires enregistrés par Varonis ;
  • fournissant des indicateurs de compromission de la variante de Netwalker au client pour qu’il puisse effectuer des analyses dans ses autres solutions de sécurité ;
  • fournissant un rapport complet sur le malware, y compris des explications sur les capacités des variantes de NetWalker en procédant au procesus d’ingénierie inversée de l’échantillon trouvé dans son environnement.

Nouvelles variantes analysées en octobre

Nom de la variante Popularité Indicateurs de compromission basés sur les données
mechu 1 Extension : .mechu4Po
Babaxed 2 Extension : .babaxed
Dharma 3 Extension :.WSHLP
EasyRansom 1 Demande de rançon : easyransom_readme.txt

Extension : .easyransom

STOP 3 Extension : .lyli
Dharma 3 Extension : .fresh
Mame VSE 1 Extension : .mame vse
Dharma 3 Extension : .homer
Dharma 3 Extension : .flyu
Babaxed 2 Extension : .osnoed
STOP Djvu 3 Extension : .moss
SantaCrypt 2 Demande de rançon : HOW_TO_RECOVER_MY_FILES.TXT

Extension : .$anta

Curator 1 Extension : .CURATOR
WoodRat 1 Extension : .woodrat
Cyber_Splitter 1 Extension : .Dcry
Dharma 3 Extension : .gtsc
Snatch 1 Extension : .clhmotjdxp
Nibiru 1 Extension : .Nibiru
Geneve 1 Extension : .fezmm
Ranzy Locker 1 Extension : .RNZ
Matrix 3 Demande de rançon : J91D_README.rtf

Extension : .J91D

Matrix 3 Demande de rançon : S996_INFO.rtf

Extension : .S996

Matrix 3 Demande de rançon : FDFK22_INFO.rtf

Extension : .FDFK22

Consciousness 1 Demande de rançon : Consciousness Ransomware Text Message.txt
AIDS_NT 1 Demande de rançon : AIDS_NT_Instructions.txt
Xorist 2 Extension : .emilisub
ThunderX 1 Extension : .tx_locked
Xorist 2 Extension : .hnx911
MedusaLocker 2 Extension : .networkmaze
OGDO STOP 1 Extension : .ogdo
Flamingo 1 Extension : .FLAMINGO
Dharma 3 Extension : .eur
Dharma 3 Extension : .blm
XMRLocker 1 Extension : .[XMRLocker]

Principaux vecteurs d’attaques en octobre

– Un Article écrit par BEN ZION LAVI, spécialiste sécurité de notre département de R&D, merci à lui.

Bibliographie

[1] – https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/ryuk-ransomware/

[2] – https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/

[3] – https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/

[4] – https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/

Équipe d’analyse forensique de Varonis

Date du rapport : Octobre 2020
Pour toute question ou demande d’informations complémentaires, contactez-nous à l’adresse : dl-eng-forensics@varonis.com.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, diplômé de l'Ecole de Guerre Economique en Risques, Sûreté Internationale et Cybersécurité. Spécialisé en droit du numérique, Adrien travaille chez Varonis en tant que Coordinateur Marketing pour la région EMEA. Il vous fournit ici du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.