Rapport sur les tendances des malwares – Mars 2021

Ce rapport mensuel reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et d’ingénierie inverse de malwares....
Michael Buckbee
6 minute de lecture
Dernière mise à jour 6 octobre 2023

Ce rapport mensuel reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et d’ingénierie inverse de malwares. Il a pour but de vous aider à mieux comprendre les évolutions des menaces en circulation et à adapter vos défenses en fonction.

Témoignage du mois

L’un des clients de Varonis, une grande société de transport française, a subi une infection de malwares qui a touché plusieurs appareils.

L’entreprise a contacté l’équipe d’enquête de Varonis pour lui demander d’examiner ses machines infectées, de localiser les fichiers infectés et de contribuer à la création d’un calendrier et d’un rapport sur l’activité malveillante dont elle a été victime.

L’équipe d’enquête de Varonis a exporté le journal des événements et la Master File Table (MFT) à partir des appareils infectés et a repéré plusieurs fichiers suspects.

Certains des fichiers suspects contenaient des fonctionnalités malveillantes qui correspondaient aux détections dans l’environnement du client :

  • L’échantillon détecté est une variante de Dridex, qui utilise des fichiers exécutables d’apparence inoffensive.
  • Le malware utilise deux fichiers malveillants : une DLL qui contenait la charge utile malveillante et un fichier exécutable utilisé pour activer les fonctionnalités de la DLL.
  • Pour assurer sa survie, le malware utilise une tâche programmée, une valeur dans le registre et un lien dans le dossier Démarrage de Windows.

Notre équipe a aidé le client en :

  • fournissant les indices d’infection des fichiers malveillants à intégrer dans les solutions de sécurité de l’entreprise ;
  • effectuant une ingénierie inverse d’un échantillon du malware et établissant un rapport complet comprenant des explications sur l’ensemble des capacités et fonctions du malware ;
  • utilisant l’interface Web de Varonis pour analyser les alertes avec le client afin de s’assurer que rien n’a été oublié ;
  • associant les étapes connues de l’attaque aux éléments apparaissant dans Varonis.

S’attaquer au ransomware Egregor avec Varonis

En février, plusieurs personnes soupçonnées d’être à l’origine des variantes du ransomware Egregor ont été arrêtées grâce à une collaboration entre les autorités françaises et ukrainiennes. Les paiements des rançons versées par les victimes ont été suivis et ont permis l’arrestation des suspects. [i]

Pourtant, Egregor est toujours actif et utilisé comme charge utile dans des campagnes dans le monde entier, comme nous l’avons vu il y a quelques mois. Par exemple, une agence immobilière britannique a été ciblée par une variante d’Egregor et les données personnelles de ses clients, telles que les informations de cartes bancaires, ont fini sur le dark web. Autre exemple : un groupe de pirates soupçonné d’être lié à Egregor a menacé une société de logistique américaine de divulguer les données sensibles de l’entreprise. [ii]

Qu’est-ce que le ransomware Egregor ?

Egregor est un groupe de ransomware qui a pris de l’ampleur depuis quelques mois. Même s’il est relativement nouveau, il s’est fait une réputation en très peu de temps, en raison d’une stratégie basée sur deux méthodes d’extorsion des victimes. [iii] « Egregor » ou égrégore en français est un concept issu de la magie occidentale, qui fait référence à l’énergie collective d’un groupe de personnes qui partagent un but commun. [iv]

On pense que le ransomware Egregor aurait succédé au ransomware Maze, le groupe de cybercrime notoire, dont les activités ont été démantelées en octobre 2020. Les tentatives d’attaques de ce dernier avaient souvent de vastes influences, qui ont peut-être contribué et renforcé les ambitions d’Egregor. Le ransomware Egregor est une modification à la fois du ransomware Sekhmet et du ransomware Maze. On retrouve certaines similarités dans le code de ces trois malwares et il semble qu’ils ciblent le même type d’organisations.

Egregor fonctionne sur le modèle « Ransomware as a Service » (RaaS). En d’autres termes, les criminels affiliés aux créateurs du ransomware peuvent utiliser des variantes spécifiques du malware en question, développées spécifiquement pour eux ou pour une attaque visant une organisation précise, et en échange, ils partagent les profits de ces attaques avec les créateurs.

Comme dit plus haut, le ransomware tire parti de deux méthodes différentes pour extorquer de l’argent à la victime. Le groupe Egregor s’infiltre sur le réseau de l’entreprise et chiffre les données qu’il trouve disponibles pour qu’elles ne soient plus accessibles à la victime. De plus, les attaquants exfiltrent les données trouvées sur les appareils et les serveurs compromis et menacent de les publier. Ils publient souvent un sous-ensemble des données exfiltrées sur leur site Web (hébergé sur le dark web) pour prouver qu’ils ont réussi à mettre la main sur les données.

La victime se retrouve face à un ultimatum, soit elle fait un versement dans un délai imparti, soit la rançon augmente si elle ne le fait pas.

Attaques marquantes

L’une des premières attaques abouties d’Egregor a ciblé Barnes & Noble, une grande chaîne de librairies américaine, en octobre 2020. Les pirates ont lancé temporairement une attaque par déni de service vers l’entreprise et ont prétendu avoir obtenu des informations financières sur le compte de cette dernière, bien que cette déclaration ait ensuite été réfutée par la victime.

Le même mois, d’autres attaques d’ampleur ont eu lieu contre les sociétés de développement de jeux vidéo Crytek et Ubisoft. Les attaquants ont publié des supposés codes sources de jeux sur leur site Web et menacé de publier des jeux n’étant pas encore commercialisés.

En décembre 2020, Egregor a déclaré avoir piraté la société de RH néerlandaise, Randstad. L’attaquant a publié ce qu’il prétendait être 1 % des données dérobées, qui comprenaient des documents financiers, principalement des fichiers Excel et PDF.

Diffusion et exécution

L’une des méthodes de diffusion pour Egregor est Cobalt Strike. Les organisations victimes sont d’abord piratées via plusieurs moyens (attaques par force brute sur RDP, phishing) et une fois que la charge utile de la balise Cobalt Strike est exécutée, elle est utilisée pour diffuser et lancer les charges utiles d’Egregor. [v]

Par exemple, quand Egregor est diffusé dans des e-mails de phishing, l’attaque se déroule généralement en 2 phases. Premièrement, un e-mail de phishing bien conçu est ouvert par la victime et charge un malware de première phase, comme Qakbot, suivi du vrai ransomware Egregor. La charge utile d’Egregor est généralement déployée par les attaquants eux-mêmes une fois qu’ils tirent parti du premier piratage.

Cobalt Strike permet aux pirates de lancer une opération interactive à partir de l’attaque. Les attaquants utilisent des outils pour scanner l’environnement AD afin de se déplacer latéralement et d’obtenir des droits d’accès privilégiés et au final de contrôler un compte admin du domaine. [vi]

Passer le malware à la loupe

L’équipe d’enquête de Varonis a analysé un échantillon d’Egregor à la demande d’un client. Dans ce cas précis, le malware avait été diffusé par un script PowerShell (PS), qui avait téléchargé le fichier DLL malveillant, l’avait placé dans le dossier « Images » du répertoire public de l’utilisateur, puis l’avait exécuté en le configurant comme paramètre de « rundll32.exe » et avait utilisé des fonctions spécifiques du fichier DLL.

Le script PS recherche un fichier exécutable lié à McAfee afin de désinstaller le produit. Cela permet de désactiver un outil de défense potentiellement important qui pourrait empêcher l’activation du ransomware. Le malware reste ensuite en veille pendant 60 secondes.

Le même script PS télécharge un fichier DLL de charge utile à partir d’une adresse IP malveillante, le stocke dans l’emplacement « C:\Users\Public\Images » et l’active en le configurant comme paramètre du fichier exécutable « rundll32.exe ». Puis il exécute des fonctions spécifiques au sein du fichier DLL de charge utile, dont un des paramètres est la chaîne « passegregor10 ». Il s’agit d’une clé destinée à parer les enquêtes, ce qui signifie que le malware ne peut être exécuté ni analysé, si cette clé exacte n’est pas fournie.

À l’aide de plusieurs bibliothèques liées à du chiffrement, dont celles du fichier DLL CRYPTSP.DLL que l’on retrouve dans le dossier « C:\Windows\System32 », le malware chiffre les fichiers qu’il trouve sur la machine de la victime et ajoute une extension pseudo-aléatoire à chaque fichier chiffré. Le malware crée ensuite une note de rançon sur chaque dossier qui contient des fichiers chiffrés, avec des instructions pour payer la rançon et déchiffrer les fichiers de la victime.

Détections réalisées par Varonis

Les produits de détection des menaces de Varonis disposent de plusieurs modèles de menaces permettant d’identifier les variantes de malwares mentionnées à différents moments :

  • « Activité de chiffrement détectée» : détecte la création de demandes de rançon sur un serveur de fichiers.
  • « Schéma immédiat détecté : les actions de l’utilisateur ressemblent à du ransomware» : détecte le processus de chiffrement de fichiers sur un serveur de fichiers sans avoir besoin de liste des noms ou extensions de fichier de ransomware connus, ce qui permet de détecter de nouvelles variantes des ransomwares/destructeurs de données.
  • « Comportement anormal : quantité inhabituelle de données envoyées à des sites Web externes» : détecte l’envoi des données collectées à un site Web ne faisant pas partie du domaine de l’organisation en examinant la quantité d’informations envoyées.
  • « Attaque de phishing potentielle : accès à un site risqué dont le nom de domaine inclut des caractères inhabituels» : détecte l’accès par un utilisateur à un site Web pouvant contenir un malware en s’appuyant sur la présence de caractères inhabituels dans son URL.
  • « E-mail suspect : réception d’un e-mail suspect comportant une pièce jointe potentiellement malveillante» : détecte les cas où une pièce jointe à un e-mail peut contenir du code malveillant ou un lien vers un site Web malveillant.
  • « Téléchargement d’un fichier potentiellement malveillant détecté »: détecte le téléchargement d’un fichier potentiellement malveillant.
  • « Infection potentielle par malware : injecteur identifié » : détecte une infection potentielle de l’environnement par un injecteur, qui peut être utilisé pour télécharger les formes suivantes du malware.

 

Nouvelles variantes analysées en février

Nom de la variante Popularité Indicateurs de compromission basés sur les données
STOP 3 .cadq
Dharma 3 .pauq
Dharma 3 .four
Ranzy Locker 2 .RANZYLOCKED
Dharma 3 .clman
Ransomware Snoopdoog 1 .Snoopdoog
Ransomware Assist 1 .assist
STOP Djvu 3 .ribd
Ransomware Aurora 2 .systems32x
Ransomware Help You 1 .IQ_IQ
Ransomware Perfection 1 .perfection
Ransomware SARBLOH 1 .sarbloh
Ransomware Monero 1 .monero
Ransomware MrJeck 1 .[MrJeck@Cock.Li]
Ransomware LockfilesKR 1 .lockfilesKR
Ransomware Periox 1 .periox
Ransomware VaPo 1 .VaPo
Ransomware TerrorWare 1 .terror

Principaux vecteurs d’attaques en février 2021

Bibliographie

[i] https://blog.malwarebytes.com/ransomware/2021/02/egregor-ransomware-hit-by-arrests/

[ii] https://www.blackfog.com/the-state-of-ransomware-in-2021/

[iii] https://blog.morphisec.com/egregor-ransomware-adopting-new-techniques

[iv] https://www.upguard.com/blog/what-is-egregor-ransomware

[v] https://blog.malwarebytes.com/ransomware/2020/12/threat-profile-egregor-ransomware-is-making-a-name-for-itself/

[vi] https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware

 

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

tendances-des-malwares :-rapport-de-février 2021
Tendances des malwares : rapport de février 2021
Ce rapport mensuel reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et d’ingénierie inverse de malwares....
présentation-des-11-meilleurs-outils-d’analyse-des-malwares-et-de-leurs-fonctionnalités
Présentation des 11 meilleurs outils d’analyse des malwares et de leurs fonctionnalités
Cet article se penche sur 11 outils d’analyse des malwares redoutablement efficaces, notamment PeStudio, Process Hacker, ProcMon, ProcDot et Autoruns, et vous dévoile leur intérêt.
tendances-des-malwares-:-rapport-d’octobre-2020
Tendances des malwares : rapport d’octobre 2020
Ce rapport mensuel réalisé avec du recul, reprend la documentation établie par l'équipe d'enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d'analyse de problèmes et reverse-engineering de malwares.
comment-utiliser-ghidra-pour-la-rétro-ingénierie-des-malwares
Comment utiliser Ghidra pour la rétro-ingénierie des malwares
Une présentation de l’outil d’analyse des malwares Ghidra. Cet article explique comment installer et utiliser l’interface Ghidra.