Posté le août 2, 2022 à 7:52
MICROSOFT LIE LES HACKERS D’EVILCORP AU LOGICIEL MALVEILLANT RASPBERRY ROBIN USB
Microsoft a établi un lien entre les récentes attaques du ver USB « Raspberry Robin » et l’opérateur de ransomware Russe EvilCorp.
Le groupe de ransomware-as-a-service, sanctionné par le gouvernement Américain, a été repéré sous le nom de DEV-0206. Le groupe a été découvert en train de truquer des publicités en ligne et de piéger ses cibles pour qu’elles installent un chargeur afin de les attaquer davantage.
D’après les données de l’équipe de recherche de Microsoft, le groupe EvilCorp a été découvert en train de distribuer des tactiques d’attaque. Le logiciel malveillant Raspberry Robin a été découvert en train de se faufiler dans les réseaux d’entreprise en début de semaine.
Microsoft a également découvert que les auteurs du logiciel malveillant travaillent en étroite collaboration avec d’autres opérateurs de logiciels malveillants afin de contourner les sanctions imposées par le ministère de la justice Américain qui bloquent les paiements de rançon.
Le logiciel malveillant infecte les systèmes par le biais de dispositifs USB piratés
Le géant technologique a ajouté qu’il avait découvert le 26 juillet 2022 que le logiciel malveillant FakeUpdates (également appelé SocGholish) était diffusé par le biais d’infections existantes de type Raspberry Robin.
Le ver Raspberry Robin est connu pour diffuser ses logiciels malveillants à partir d’un système infiltré par le biais de périphériques USB piratés contenant des fichiers a.LNK malveillants.
La campagne de logiciels malveillants a été initialement découverte par Red Canary en septembre dernier. Elle a échappé aux logiciels de sécurité et aux entreprises de cybersécurité au fil des ans. Les personnes à l’origine de ce logiciel malveillant ont pris soin de rendre insaisissable le fait qu’aucune activité ultérieure n’ait été enregistrée à son sujet. Jusqu’à présent, les chercheurs n’ont pas été en mesure de le relier à un quelconque groupe de menace.
Par conséquent, c’est la première fois que le groupe de menaces est découvert en train d’effectuer des exploitations après avoir utilisé un logiciel malveillant pour obtenir un accès initial à une machine Windows.
L’utilisation de la charge utile RaaS par le groupe de menaces est probablement une tentative de DEV-0243 de contourner les logiciels de sécurité et d’éviter de lier l’action au groupe. Cela aurait pu décourager le paiement des victimes en raison de leur statut sanctionné.
Le ver effectue plusieurs actions
Selon Microsoft, EvilCorp serait exploité par les ressortissants Russes Igor Turashev et Maksim Takubets, qui a été inculpé par les États-Unis en 2019.
Le géant technologique a expliqué que les groupes ont mené des opérations avec une équipe chargée de tromper les utilisateurs de Windows pour qu’ils cliquent sur des fichiers ZIP qui déploient automatiquement un implant JavaScript. Le groupe empoisonne également les publicités en ligne afin de faire le plus de victimes possible dans le cadre de sa campagne de ransomware.
Une fois que le ver a réussi à s’infiltrer dans le système de la cible, EvilCorp prend le relais avec plusieurs actions. Il peut télécharger des charges utiles supplémentaires, effectuer plusieurs opérations manuelles sur le clavier, déployer un ransomware de cryptage des données et escalader les privilèges dans un réseau d’entreprise.
Les avertissements de Microsoft interviennent à peine une semaine après que l’entreprise de cybersécurité Red Canary a arrêté un ver Windows profitant du piratage d’un système de stockage en réseau (NAS) QNAP en vue de propager des logiciels malveillants à de nouveaux systèmes.
De plus en plus de groupes de menaces délaissent les attaques notoires
On a également découvert que le ver USB Raspberry Robin se propageait dans différentes organisations, notamment dans les secteurs manufacturiers et technologiques.
Les attaques par ransomware se sont multipliées ces derniers temps, car de plus en plus de groupes de menaces cherchent à obtenir des fonds en volant les données vitales de grandes organisations. Si certains de ces attaquants appartiennent à des groupes privés, d’autres sont des acteurs étatiques parrainés par des pays rivaux.
La société Coveware, spécialisée dans la négociation des rançons, a récemment déclaré que le paiement moyen de la rançon a augmenté de 8 % par rapport au dernier trimestre, atteignant environ 228 000 dollars. La société a également noté que les paiements médians de rançon ont diminué à 36 360 $, ce qui représente une baisse de 51 % par rapport au premier trimestre 2022.
Cette tendance est la preuve qu’il y a un déplacement des développeurs et des affiliés RaaS vers le marché intermédiaire. Ici, le rapport risque/récompense de l’attaque est moins risqué et plus cohérent que les attaques de haut niveau.
En outre, de plus en plus d’organisations de premier plan refusent désormais de payer des rançons élevées, choisissant de ne pas succomber aux menaces des hackers. Dans la plupart des cas, elles cessent d’envisager des négociations lorsque les groupes de ransomware exigent des rançons extrêmement élevées, selon Coveware.
Coveware permet aux organisations victimes de passer par le processus de négociation et leur permet de récupérer leurs données auprès des acteurs de la menace. La société a déclaré que l’exfiltration de données est encore très courante dans les cas de ransomware.
« La proportion d’entreprises qui succombent à l’extorsion par exfiltration de données continue de déconcerter et de frustrer », note Coveware.
La firme a ajouté qu’il existe suffisamment de preuves que les acteurs de menaces ne sont pas dignes de confiance lorsqu’ils promettent de détruire les données après le paiement de la rançon. Mais malgré ses avertissements, les victimes ont continué à faire prospérer l’industrie de l’exfiltration de données en payant des rançons.
