Posté le août 3, 2022 à 9:29
MICROSOFT A ÉTABLI UN LIEN ENTRE LES HACKERS D’EVILCORP ET LE LOGICIEL MALVEILLANT RASPBERRY ROBIN USB
Microsoft a attribué les récentes attaques du ver USB « Raspberry Robin » à l’opérateur Russe de ransomware EvilCorp.
Le groupe de ransomware-as-a-service, sanctionné par le gouvernement Américain, a été repéré sous le nom de DEV-0206. Le groupe a été découvert en train de truquer des publicités en ligne et de piéger ses cibles pour qu’elles installent un chargeur afin de les attaquer davantage.
D’après les données de l’équipe de recherche de Microsoft, le groupe EvilCorp a été découvert en train de répandre des tactiques d’attaque. Le ver Raspberry Robin a été découvert en train de se faufiler dans les réseaux d’entreprise en début de semaine.
Microsoft a également constaté que les auteurs du logiciel malveillant travaillent en étroite collaboration avec d’autres opérateurs de logiciels malveillants afin de contourner les sanctions imposées par le ministère de la justice Américain qui bloquent les paiements d’extorsion de ransomware.
Le logiciel malveillant infecte les systèmes par le biais de dispositifs USB piratés
Le géant technologique a ajouté qu’il avait découvert le 26 juillet 2022 que le logiciel malveillant FakeUpdates (également appelé SocGholish) était véhiculé par des infections existantes utilisant le ver Raspberry Robin.
Le ver Raspberry Robin est connu pour diffuser ses logiciels malveillants à partir d’un système infiltré par le biais de périphériques USB piratés contenant des fichiers a.LNK malveillants.
La campagne de logiciels malveillants a été initialement découverte par Red Canary en septembre dernier. Elle a échappé aux logiciels de sécurité et aux entreprises de cybersécurité au fil des ans. Les acteurs de la menace responsables du logiciel malveillant ont pris soin de rendre insaisissable le fait qu’aucune activité ultérieure n’ait été enregistrée à propos du logiciel malveillant. Jusqu’à présent, les chercheurs n’ont pas été en mesure de le relier à un quelconque groupe de menaces.
Par conséquent, c’est la première fois que le groupe de menaces est découvert en train d’effectuer des exploitations après avoir utilisé un logiciel malveillant pour obtenir un accès initial à un ordinateur Windows.
L’utilisation de la charge utile RaaS par le groupe est probablement une tentative de DEV-0243 de contourner les logiciels de sécurité et d’éviter de faire le lien entre l’action et le groupe. Cela aurait pu décourager le paiement des victimes en raison de leur statut sanctionné.
Le ver effectue plusieurs actions
Selon Microsoft, EvilCorp serait exploité par des ressortissants Russes, Igor Turashev et Maksim Takubets, qui a été inculpé par les États-Unis en 2019.
Le géant de la technologie explique en outre que les groupes ont mené des opérations avec une équipe chargée de tromper les utilisateurs de Windows pour qu’ils cliquent sur des fichiers ZIP qui déploient automatiquement un implant JavaScript. Le groupe empoisonne également les publicités en ligne afin de gagner autant de victimes que possible pour la campagne de ransomware.
Une fois que le ver a réussi à s’infiltrer dans le système de la cible, EvilCorp prend le relais avec plusieurs actions. Il peut télécharger des charges utiles supplémentaires, effectuer plusieurs opérations manuelles sur le clavier, déployer un ransomware de cryptage des données et escalader les privilèges dans un réseau d’entreprise.
Les avertissements de Microsoft interviennent à peine une semaine après que l’entreprise de cybersécurité Red Canary a arrêté un ver Windows profitant du piratage d’un système de stockage en réseau (NAS) QNAP en vue de propager des logiciels malveillants à de nouveaux systèmes.
De plus en plus de groupes de menaces délaissent les attaques notoires
On a également découvert que le ver USB Raspberry Robin se propageait dans différentes organisations, notamment dans les secteurs manufacturier et technologique.
Les attaques par ransomware se sont multipliées ces derniers temps, car de plus en plus de groupes de menaces cherchent à obtenir des fonds en volant les données vitales de grandes organisations. Si certains de ces attaquants appartiennent à des groupes privés, d’autres sont des acteurs étatiques parrainés par des pays rivaux.
La société de récupération de ransomware Coveware a récemment déclaré que le paiement moyen de la rançon a augmenté de 8 % par rapport au dernier trimestre, atteignant environ 228 000 dollars. La société a également noté que les paiements moyens de rançon ont diminué à 36 360 $, soit une baisse de 51 % par rapport au premier trimestre 2022.
Cette tendance est la preuve qu’il y a un déplacement des développeurs et des affiliés RaaS vers le marché intermédiaire. Ici, le rapport risque/récompense de l’attaque est moins risqué et plus cohérent que les attaques de haut niveau.
En outre, un nombre croissant de grandes organisations refusent désormais de payer des rançons élevées, choisissant de ne pas succomber aux menaces des hackers. Dans la plupart des cas, elles cessent d’envisager des négociations lorsque les groupes de ransomware exigent des rançons extrêmement élevées, selon Coveware.
Coveware permet aux organisations victimes de passer par le processus de négociation et leur permet de récupérer leurs données auprès des acteurs de menaces. La société a déclaré que l’exfiltration de données est encore très courante dans les cas de ransomware.
« La proportion d’entreprises qui succombent à l’extorsion par exfiltration de données continue de déconcerter et de frustrer », note Coveware.
La firme a ajouté qu’il existe suffisamment de preuves que les acteurs de menaces ne sont pas à croire lorsqu’ils promettent de détruire les données après le paiement de la rançon. Mais malgré ses avertissements, les victimes ont continué à faire prospérer l’industrie de l’exfiltration de données en payant des rançons.
