DES CHERCHEURS DÉCOUVRENT UNE NOUVELLE SOUCHE DE LOGICIEL MALVEILLANT QUI SE DÉGUISE EN RANSOMWARE

Posté le mai 27, 2021 à 14:19

DES CHERCHEURS DÉCOUVRENT UNE NOUVELLE SOUCHE DE LOGICIEL MALVEILLANT QUI SE DÉGUISE EN RANSOMWARE

Les chercheurs de la société de cybersécurité SentinelOne ont découvert un nouveau logiciel malveillant qui efface les disques et se déguise en ransomware pour attaquer les organisations israéliennes.

Le logiciel malveillant, baptisé « Apostle » par les chercheurs, a été utilisé pour la première fois à grande échelle pour effacer des données, mais n’a pas réussi à la première tentative. L’échec était principalement dû à un défaut de logique dans son code.

Toutefois, la vulnérabilité du logiciel malveillant a été corrigée dans une version ultérieure, car le logiciel malveillant a développé un comportement de ransomware à part entière.

Il est notamment capable de déposer des notes à l’intention des victimes, leur demandant de payer la rançon si elles veulent obtenir une clé de décryptage.

Le groupe malveillant a des liens avec le gouvernement iranien

Dans un récent article, SentinelOne a déclaré que, d’après les serveurs auxquels Apostle s’est adressé et le code utilisé, le logiciel malveillant était utilisé par un groupe malveillant récemment formé. Selon les chercheurs, le groupe pourrait être lié au gouvernement iranien.

De plus, la cible principale d’Apostle est Israël, bien qu’une note de ransomware découverte par les chercheurs montre que le logiciel malveillant a été utilisé pour attaquer une installation critique aux Émirats arabes unis.

Le rapport des chercheurs indique qu’il est toujours difficile de comprendre les intentions d’un acteur malveillant. Par conséquent, il est toujours difficile de prouver l’utilisation d’un ransomware comme outil perturbateur.

Mais l’analyse d’Apostle a permis de mieux comprendre ce type d’attaque. D’après les chercheurs, la campagne a commencé par un logiciel malveillant de suppression de données, mais elle s’est développée pour devenir un ransomware pleinement opérationnel.

SentinelOne appelle les nouveaux acteurs malveillants Agrius. Au stade initial, SentinelOne a déclaré que le groupe a d’abord commencé à utiliser Apostle comme un effaceur (wiper) de disque. Cependant, en raison de la faille, Agrius est revenu à Deadwood, un wiper existant précédemment déployé pour cibler l’Arabie Saoudite en 2019.

Mais le groupe est entré dans un travail sérieux pour développer Apostle et en faire un ransomware à part entière.

Cependant, les chercheurs ont déclaré que le groupe a mis en œuvre une fonctionnalité de cryptage uniquement pour couvrir ses véritables intentions.

Alors que le logiciel malveillant est conçu pour détruire les données des victimes, il se déguise en ransomware, a déclaré SentinelOne.

Apostle a été doté d’un code clé qui se superpose à une porte dérobée, appelée IPSec Helper, qui est également utilisée par Agrius.

Les acteurs de la menace utilisent également des Webshells

La porte dérobée reçoit plusieurs commandes, dont le téléchargement et l’exécution d’un fichier exécutable déployé depuis le serveur de contrôle de l’acteur malveillant. Il est intéressant de noter qu’IPSec Helper et Apostle ont tous deux été écrits en langage .Net.

Agrius utilise également des webshells pour permettre aux acteurs malveillants de se déplacer littéralement dans un réseau infiltré. Il a également été découvert que les membres du groupe utilisent le ProtonVPN pour cacher leurs adresses IP lorsqu’ils lancent une attaque.

Les hackers semblent avoir déjà développé un logiciel malveillant similaire par le passé. En 2012, les serveurs de la société Aramco, basée en Arabie saoudite, ont été touchés par un logiciel malveillant auto-réplicatif. L’impact de cette attaque a été énorme, puisqu’elle a effacé définitivement les disques durs de plus de 30 000 postes de travail.

Quelques jours après l’attaque, des chercheurs en sécurité ont découvert que le ver effaceur responsable de l’attaque était Shamoon et l’ont attribué au gouvernement Iranien.

En 2016, Shamoon a de nouveau été repéré, cette fois en Arabie saoudite. Le logiciel malveillant a été déployé dans le cadre d’une campagne qui a frappé plusieurs organisations du pays, dont plusieurs agences gouvernementales. En 2019, un autre wiper iranien appelé ZeroCleare a été découvert par des chercheurs.

Apostle n’est pas le premier logiciel malveillant qui se déguise en ransomware

Les chercheurs de SentinelOne ont remarqué qu’un autre logiciel malveillant se déguisant en ransomware a déjà existé par le passé. Le célèbre ver NotPetya qui a fait perdre des milliards de dollars aux organisations était également déguisé en ransomware.

Le logiciel malveillant a caché ses véritables opérations jusqu’à ce que les chercheurs découvrent qu’il était géré par les hackers soutenus par la Russie pour déstabiliser l’Ukraine.

Dans une récente interview, Juan Andres Guerrero-Saade, chercheur principal en matière de menaces chez SentinelOne, a déclaré que les logiciels malveillants tels qu’Apostle montrent la différence de motivation entre les hackers d’État et les autres hackers à motivation financière.

Il ajoute que l’espace de piratage a évolué et que les acteurs malveillants utilisent différentes stratégies pour atteindre leurs cibles. Par conséquent, les organisations doivent également améliorer leurs mécanismes de défense contre les menaces si elles ne veulent pas que les hackers leur tombent dessus.

Summary
DES CHERCHEURS DÉCOUVRENT UNE NOUVELLE SOUCHE DE LOGICIEL MALVEILLANT QUI SE DÉGUISE EN RANSOMWARE
Article Name
DES CHERCHEURS DÉCOUVRENT UNE NOUVELLE SOUCHE DE LOGICIEL MALVEILLANT QUI SE DÉGUISE EN RANSOMWARE
Description
Les chercheurs de la société de cybersécurité SentinelOne ont découvert un nouveau logiciel malveillant qui efface les disques et se déguise en ransomware pour attaquer les organisations israéliennes.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading