Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Tendances des malwares : rapport d’octobre 2020

Ce rapport mensuel réalisé avec du recul, reprend la documentation établie par l'équipe d'enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d'analyse de problèmes et reverse-engineering de malwares.
Adrien Rahmati-Georges
5 minute de lecture
Dernière mise à jour 6 octobre 2023

Contenu

    Ce rapport mensuel réalisé avec du recul, reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et reverse-engineering de malwares. Il a pour but de vous aider à mieux comprendre les évolutions des menaces en circulation et à adapter vos défenses en fonction.

    Présentation du malware Ryuk

    [1] Ryuk est un malware découvert en août 2018. Il se distingue des autres types de ransomwares, comme WannaCry, par le caractère ciblé de ses victimes. Ryuk a été conçu de sorte à obliger l’attaquant à accorder toute son attention à chacune de ses victimes.

    Les variantes connues de Ryuk présentent deux méthodes d’infection principales : l’utilisation d’e-mails de spear-phishing spécifiques, qui ciblent généralement un membre bien précis d’une entreprise, et l’utilisation d’identifiants obtenus au préalable pour accéder à des appareils internes par le biais du télétravail.

    [2] Depuis peu, Ryuk utilise l’exploit Zerologon (CVE-2020-1472), qui permet aux cybercriminels d’élever leurs privilèges bien plus rapidement qu’avec les autres méthodes. Par conséquent, l’attaquant utilise souvent le mot de passe du contrôleur de domaine principal pour se déplacer latéralement vers les autres contrôleurs de domaine et s’en servir afin de diffuser le ransomware dans tout le réseau.

    Présentation de l’APT de Silent Librarian

    [3] Silent Librarian, aussi connu sous le nom de COBALT DICKENS ou TA407, est un groupe de hackers qui tire parti du spear phishing pour attaquer des universités, principalement aux États-Unis, mais aussi dans d’autres parties du monde. Il s’intéresse particulièrement au personnel administratif et aux étudiants, car son objectif est de s’emparer de données de recherche académiques.

    Basé en Iran et probablement financé par le gouvernement du pays, le groupe illustre la volonté de la République islamique de rester au fait des développements scientifiques internationaux en dépit des lourdes sanctions auxquelles elle est soumise.

    Pour leurrer ses victimes, Silent Librarian utilise des noms de domaine très proches de ceux des universités. La seule différence réside dans le nom du domaine de premier niveau.

    Par exemple, le nom de domaine de l’Université Western Ontario est « login.proxy1.lib.uwo.ca » et les attaquants utilisent le domaine « login.proxy1.lib.uwo.ca.sftt.cf ». Autre exemple, le nom de domaine de la bibliothèque principale de l’Université d’Adélaïde est « library.adelaide.edu.au » et les attaquants utilisent le domaine « library.adelaide.crev.me ». Le site de phishing se présentait comme suit :

    Silent Librarian s’appuie sur le service Cloudflare pour masquer l’origine de l’hébergement, car les attaquants du groupe ont tendance à utiliser des infrastructures basées dans leur propre pays, probablement en raison de difficultés à obtenir ces infrastructures à l’étranger.

    Présentation du malware Mekotio

    Mekotio est un cheval de Troie bancaire vu sur les réseaux pour la première fois en 2015. Les chevaux de Troie bancaires ont gagné en popularité ces dernières années, notamment en raison des gains financiers élevés qu’ils permettent d’obtenir en cas de réussite de l’attaque.

    [4] Pour passer entre les mailles des antivirus et solutions EDR, les chevaux de Troie bancaires doivent évoluer en permanence, et Mekotio en constitue la parfaite illustration. Ce cheval de Troie d’origine latino-américaine fait non seulement évoluer ses fonctionnalités régulièrement, mais on pense également que plusieurs variantes sont développées en parallèle en permanence. Mekotio est principalement diffusé par le biais de spams envoyés par e-mail et utilise différents outils de chargement.

    Au cours de ses attaques, il affiche des fenêtres contextuelles conçues avec soin et ciblant les banques latino-américaines. Son but ? Recueillir des informations sensibles. Il dispose de fonctionnalités de reconnaissance avancées lui permettant d’identifier les configurations des pare-feu, la version de Windows, les solutions de sécurité installées et la possession ou non par l’utilisateur actuel de privilèges d’administrateur. Il utilise par ailleurs des techniques standard pour assurer sa persistance, notamment des clés du Registre ou le dossier Démarrer de Windows.

    Il dispose de plusieurs autres fonctionnalités intéressantes, en plus de fonctions classiques comme l’enregistrement de la frappe et de captures d’écran, notamment l’exfiltration des identifiants enregistrés dans Google Chrome, le vol des cryptomonnaies en remplaçant des chaînes du presse-papier et la destruction partielle de données par la suppression de fichiers et dossiers dans les répertoires système.

    En raison des différences entre les systèmes bancaires des différents pays, les chevaux de Troie bancaires se concentrent habituellement chacun sur une région qui leur est propre. Mekotio ne fait pas exception à la règle. Les banques latino-américaines sont ses principales victimes, mais il est aussi connu pour s’être attaqué à des dizaines de victimes au Brésil, au Chili, au Mexique et au Pérou.

    Détections réalisées par Varonis

    Varonis DatAlert dispose de plusieurs modèles de menaces permettant d’identifier les variantes de malwares mentionnées à différents moments :

    • « Activité de chiffrement détectée» : détecte la création de notes de rançon sur un serveur de fichiers ou un dépôt de données dans le cloud.
    • « Schéma immédiat détecté : les actions de l’utilisateur ressemblent à du ransomware» : détecte le processus de chiffrement de fichiers sur un serveur de fichiers sans avoir besoin de liste des noms ou extensions de fichier de ransomware connus, ce qui permet de détecter de nouvelles variantes des ransomwares/destructeurs de données.
    • « Comportement anormal : quantité inhabituelle de données envoyées à des sites Web externes» : détecte l’envoi des données collectées à un site Web ne faisant pas partie du domaine de l’organisation en examinant la quantité d’informations envoyées.
    • « Attaque de phishing potentielle : accès à un site risqué dont le nom de domaine inclut des caractères inhabituels» : détecte l’accès par un utilisateur à un site Web pouvant contenir un malware en s’appuyant sur la présence de caractères inhabituels dans son URL.
    • « E-mail suspect : réception d’un e-mail suspect comportant une pièce jointe potentiellement malveillante» : détecte les cas où une pièce jointe à un e-mail peut contenir du code malveillant ou un lien vers un site Web malveillant.

    Témoignage du mois d’Octobre

    Un des clients de Varonis, une entreprise du secteur de la chimie basée aux États-Unis et comptant des milliers d’employés, a été victime d’un incident lié au ransomware NetWalker.

    Vers la fin septembre, notre équipe d’investigation a contacté d’elle-même le client, car nos systèmes de détection des menaces signalaient qu’il était potentiellement en train de subir une attaque discrète par un ransomware.

    Au cours de l’enquête, il est apparu que le compte d’un des utilisateurs d’O365 du client était compromis, ce qui avait permis au hacker d’accéder au réseau sur site.

    Au sein du réseau, l’attaquant était parvenu à compromettre un compte de service qui avait ensuite été utilisé pour exécuter Cobalt Strike et le ransomware NetWalker.

    Notre équipe a aidé le client en :

    • utilisant Varonis pour analyser avec lui les alertes et s’assurer que rien n’avait été oublié ;
    • associer les phases connues de l’attaque avec les événements granulaires enregistrés par Varonis ;
    • fournissant des indicateurs de compromission de la variante de Netwalker au client pour qu’il puisse effectuer des analyses dans ses autres solutions de sécurité ;
    • fournissant un rapport complet sur le malware, y compris des explications sur les capacités des variantes de NetWalker en procédant au procesus d’ingénierie inversée de l’échantillon trouvé dans son environnement.

    Nouvelles variantes analysées en octobre

    Nom de la variante Popularité Indicateurs de compromission basés sur les données
    mechu 1 Extension : .mechu4Po
    Babaxed 2 Extension : .babaxed
    Dharma 3 Extension :.WSHLP
    EasyRansom 1 Demande de rançon : easyransom_readme.txt

    Extension : .easyransom
    STOP 3 Extension : .lyli
    Dharma 3 Extension : .fresh
    Mame VSE 1 Extension : .mame vse
    Dharma 3 Extension : .homer
    Dharma 3 Extension : .flyu
    Babaxed 2 Extension : .osnoed
    STOP Djvu 3 Extension : .moss
    SantaCrypt 2 Demande de rançon : HOW_TO_RECOVER_MY_FILES.TXT

    Extension : .$anta
    Curator 1 Extension : .CURATOR
    WoodRat 1 Extension : .woodrat
    Cyber_Splitter 1 Extension : .Dcry
    Dharma 3 Extension : .gtsc
    Snatch 1 Extension : .clhmotjdxp
    Nibiru 1 Extension : .Nibiru
    Geneve 1 Extension : .fezmm
    Ranzy Locker 1 Extension : .RNZ
    Matrix 3 Demande de rançon : J91D_README.rtf

    Extension : .J91D
    Matrix 3 Demande de rançon : S996_INFO.rtf

    Extension : .S996
    Matrix 3 Demande de rançon : FDFK22_INFO.rtf

    Extension : .FDFK22
    Consciousness 1 Demande de rançon : Consciousness Ransomware Text Message.txt
    AIDS_NT 1 Demande de rançon : AIDS_NT_Instructions.txt
    Xorist 2 Extension : .emilisub
    ThunderX 1 Extension : .tx_locked
    Xorist 2 Extension : .hnx911
    MedusaLocker 2 Extension : .networkmaze
    OGDO STOP 1 Extension : .ogdo
    Flamingo 1 Extension : .FLAMINGO
    Dharma 3 Extension : .eur
    Dharma 3 Extension : .blm
    XMRLocker 1 Extension : .[XMRLocker]

    Principaux vecteurs d’attaques en octobre

    – Un Article écrit par BEN ZION LAVI, spécialiste sécurité de notre département de R&D, merci à lui.

    Bibliographie

    [1] – https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/ryuk-ransomware/

    [2] – https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/

    [3] – https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/

    [4] – https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/

    Équipe d’analyse forensique de Varonis

    Date du rapport : Octobre 2020
    Pour toute question ou demande d’informations complémentaires, contactez-nous à l’adresse : dl-eng-forensics@varonis.com.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Adrien Rahmati-Georges
    Adrien Rahmati-Georges

    Ancien étudiant en informatique, formé à la cybersécurité, aux risques et à la veille concurrentielle. En tant que coordinatrice marketing chez Varonis, je fournis pour la région EMEA des contenus en français et en allemand, rédigés par nos formidables auteurs Varonis !

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Varonis étend sa couverture pour aider à sécuriser les données critiques de Snowflake
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Nathan Coppinger
    29 janvier 2024
    Varonis étend la couverture DSPM à Snowflake, améliorant ainsi la visibilité et la sécurité des données critiques de Snowflake.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.