{"id":2145,"date":"2022-02-24T09:10:02","date_gmt":"2022-02-24T11:10:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/index.php\/dridex-malware-deploiement-entropy-ransomware-sur-des-ordinateurs-pirates\/"},"modified":"2022-02-24T09:10:18","modified_gmt":"2022-02-24T11:10:18","slug":"dridex-malware-deploiement-entropy-ransomware-sur-des-ordinateurs-pirates","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/dridex-malware-deploiement-entropy-ransomware-sur-des-ordinateurs-pirates\/","title":{"rendered":"Dridex Malware D\u00e9ploiement Entropy Ransomware sur des ordinateurs pirat\u00e9s"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Des similitudes ont \u00e9t\u00e9 d\u00e9couvertes entre les Dridex<\/b> malware \u00e0 usage g\u00e9n\u00e9ral et une souche de ransomware peu connue appel\u00e9e Entropie<\/b>sugg\u00e9rant que les op\u00e9rateurs continuent de rebaptiser leurs op\u00e9rations d’extorsion sous un autre nom.<\/p>\n

“Les similitudes r\u00e9sident dans le packer logiciel utilis\u00e9 pour dissimuler le code du ran\u00e7ongiciel, dans les sous-programmes malveillants con\u00e7us pour trouver et masquer les commandes (appels d’API) et dans les sous-programmes utilis\u00e9s pour d\u00e9chiffrer le texte crypt\u00e9”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos. mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n

Les points communs ont \u00e9t\u00e9 d\u00e9couverts \u00e0 la suite de deux incidents sans rapport ciblant une soci\u00e9t\u00e9 de m\u00e9dias anonyme et une agence gouvernementale r\u00e9gionale. Dans les deux cas, le d\u00e9ploiement d’Entropy a \u00e9t\u00e9 pr\u00e9c\u00e9d\u00e9 par l’infection des r\u00e9seaux cibles avec Cobalt Strike Beacons et Dridex, accordant aux attaquants un acc\u00e8s \u00e0 distance.<\/p>\n

Malgr\u00e9 la coh\u00e9rence de certains aspects des attaques jumelles, elles variaient \u00e9galement consid\u00e9rablement en ce qui concerne le vecteur d’acc\u00e8s initial utilis\u00e9 pour se frayer un chemin \u00e0 l’int\u00e9rieur des r\u00e9seaux, la dur\u00e9e pass\u00e9e dans chacun des environnements et les logiciels malveillants utilis\u00e9s pour lancer la phase finale. de l’invasion.<\/p>\n

\"Sauvegardes<\/a><\/div>\n

L’attaque contre l’organisation m\u00e9diatique a utilis\u00e9 l’exploit ProxyShell pour frapper un serveur Exchange vuln\u00e9rable dans le but d’installer un shell Web qui, \u00e0 son tour, a \u00e9t\u00e9 utilis\u00e9 pour diffuser Cobalt Strike Beacons sur le r\u00e9seau. L’adversaire aurait pass\u00e9 quatre mois \u00e0 effectuer des reconnaissances et \u00e0 voler des donn\u00e9es, ouvrant finalement la voie \u00e0 l’attaque par ransomware d\u00e9but d\u00e9cembre 2021.<\/p>\n

La deuxi\u00e8me attaque contre l’organisation gouvernementale r\u00e9gionale, en revanche, a \u00e9t\u00e9 facilit\u00e9e par une pi\u00e8ce jointe malveillante contenant le logiciel malveillant Dridex, l’utilisant pour d\u00e9ployer des charges utiles suppl\u00e9mentaires pour le mouvement lat\u00e9ral.<\/p>\n

Notamment, l’exfiltration redondante de donn\u00e9es sensibles vers plus d’un fournisseur de stockage en nuage – sous la forme d’archives RAR compress\u00e9es – s’est produite dans les 75 heures suivant la d\u00e9tection initiale d’une tentative de connexion suspecte sur une seule machine, avant de chiffrer les fichiers sur les ordinateurs compromis. .<\/p>\n\n\n\n\n
\"Entropie<\/td>\n<\/tr>\n
Remarque sur le ran\u00e7ongiciel Entropy<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Outre l’utilisation d’outils l\u00e9gitimes tels que AdFind<\/a>, PsExec<\/a>et PsKill<\/a> pour mener \u00e0 bien les attaques, la corr\u00e9lation entre les \u00e9chantillons de Dridex et d’Entropy avec ceux des infections pr\u00e9c\u00e9dentes du ran\u00e7ongiciel DoppelPaymer a soulev\u00e9 la possibilit\u00e9 d’une “origine commune”.<\/p>\n

Il convient de souligner le r\u00e9seau de connexions entre les diff\u00e9rents logiciels malveillants. le Dridex<\/a> Le cheval de Troie, un botnet voleur d’informations, est connu pour \u00eatre l’\u0153uvre d’un groupe prolifique de cybercriminalit\u00e9 bas\u00e9 en Russie appel\u00e9 Indrik Spider (alias Evil Corp).<\/p>\n

DoppelPaymer est attribu\u00e9 \u00e0 un groupe dissident<\/a> suivi sous le surnom de Doppel Spider, qui leviers<\/a> code malveillant fork\u00e9<\/a> d\u00e9velopp\u00e9 par Indrik Spider, y compris le ran\u00e7ongiciel BitPaymer, comme base de ses op\u00e9rations de chasse au gros gibier.<\/p>\n

\"Logiciel<\/div>\n

En d\u00e9cembre 2019, le d\u00e9partement du Tr\u00e9sor am\u00e9ricain a sanctionn\u00e9 Evil Corp et a d\u00e9pos\u00e9 des accusations criminelles contre deux membres cl\u00e9s Maksim Yakubets et Igor Turashev, en plus d’annoncer une r\u00e9compense de 5 millions de dollars pour toute information menant \u00e0 leur arrestation. UNE enqu\u00eate ult\u00e9rieure<\/a> par la BBC en novembre 2021 a retrouv\u00e9 les “pr\u00e9sum\u00e9s pirates ayant un mode de vie millionnaire, avec peu de chances d’\u00eatre arr\u00eat\u00e9s”.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

Le gang de la cybercriminalit\u00e9 a depuis effectu\u00e9 de nombreux changements de marque dans son infrastructure de ran\u00e7ongiciels au cours des ann\u00e9es qui ont suivi pour contourner les sanctions, le principal d’entre eux \u00e9tant Gaspill\u00e9Casier<\/a>Had\u00e8s, Ph\u00e9nix, PayloadBIN<\/a>, Douleur<\/a>et Ara<\/a>. L’entropie est probablement le dernier ajout \u00e0 cette liste.<\/p>\n

Cela dit, il est \u00e9galement possible que les op\u00e9rateurs de logiciels malveillants aient emprunt\u00e9 le code, soit pour \u00e9conomiser les efforts de d\u00e9veloppement, soit pour induire d\u00e9lib\u00e9r\u00e9ment en erreur l’attribution dans ce qui est une op\u00e9ration sous fausse banni\u00e8re.<\/p>\n

Les r\u00e9sultats d\u00e9montrent que le cluster Evil Corp continue de faire progresser son m\u00e9tier malgr\u00e9 les sanctions, mettant constamment \u00e0 jour ses signatures de charge utile, ses outils d’exploitation et ses m\u00e9thodes d’acc\u00e8s initial afin de confondre l’attribution et de rester sous le radar.<\/p>\n

En effet, les chercheurs de SentinelOne, dans un analyse autonome<\/a>a appel\u00e9 les liens “\u00e9volutifs”, citant une configuration, une impl\u00e9mentation et des fonctionnalit\u00e9s presque identiques entre les variantes successives du ransomware, le malware de cryptage de fichiers \u00e9tant dissimul\u00e9 \u00e0 l’aide d’un packer appel\u00e9 CryptOne.<\/p>\n

“Dans les deux cas, les attaquants se sont appuy\u00e9s sur un manque de diligence – les deux cibles avaient des syst\u00e8mes Windows vuln\u00e9rables qui manquaient de correctifs et de mises \u00e0 jour actuels”, a d\u00e9clar\u00e9 Andrew Brandt, chercheur principal chez Sophos. “Des machines correctement patch\u00e9es, comme le serveur Exchange, auraient forc\u00e9 les attaquants \u00e0 travailler plus dur pour faire leur acc\u00e8s initial aux organisations qu’ils ont p\u00e9n\u00e9tr\u00e9es.”<\/p>\n

“L’obligation d’utiliser l’authentification multifacteur, si elle avait \u00e9t\u00e9 en place, aurait cr\u00e9\u00e9 d’autres difficult\u00e9s pour les utilisateurs non autoris\u00e9s \u00e0 se connecter \u00e0 ces machines ou \u00e0 d’autres”, a ajout\u00e9 Brandt.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Des similitudes ont \u00e9t\u00e9 d\u00e9couvertes entre les Dridex malware \u00e0 usage g\u00e9n\u00e9ral et une souche de ransomware peu connue appel\u00e9e Entropiesugg\u00e9rant que les op\u00e9rateurs continuent de rebaptiser leurs op\u00e9rations d’extorsion sous un autre nom. “Les similitudes r\u00e9sident dans le packer logiciel utilis\u00e9 pour dissimuler le code du ran\u00e7ongiciel, dans les sous-programmes malveillants con\u00e7us pour trouver […]<\/p>\n","protected":false},"author":1,"featured_media":2146,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,4390,133,4389,4391,4157,4159,4171,4170,4167,4174,4160,4163,4162,4393,4394,4392,4172,4169,60,4166,4164],"class_list":["post-2145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deploiement","tag-des","tag-dridex","tag-entropy","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ordinateurs","tag-pirates","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/2145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=2145"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/2145\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/2146"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=2145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=2145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=2145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}