Ransomware

Un groupe de menaces «agressif» motivé financièrement a puisé dans une faille zero-day dans les appliances VPN SonicWall avant qu’il ne soit corrigé par la société pour déployer une nouvelle souche de ransomware appelée FIVEHANDS.

Le groupe, suivi par la société de cybersécurité Mandiant sous le nom UNC2447, a profité d’une faille de « neutralisation de commande SQL incorrecte » dans le produit SSL-VPN SMA100 (CVE-2021-20016, Score CVSS 9.8) qui permet à un attaquant non authentifié de réaliser l’exécution de code à distance.

«L’UNC2447 monétise les intrusions en extorquant d’abord leurs victimes avec le ransomware FIVEHANDS, puis en appliquant une pression agressive par le biais de menaces d’attention médiatique et en proposant des données sur les victimes à la vente sur des forums de pirates», les chercheurs de Mandiant mentionné. « UNC2447 a été observé ciblant des organisations en Europe et en Amérique du Nord et a constamment fait preuve de capacités avancées pour échapper à la détection et minimiser la criminalistique post-intrusion. »

Auditeur De Mot De Passe

CVE-2021-20016 est le même zéro jour qui, selon la firme basée à San Jose, a été exploitée par des «acteurs de la menace sophistiqués» pour organiser une «attaque coordonnée contre ses systèmes internes» plus tôt cette année. Le 22 janvier, The Hacker News a révélé en exclusivité que SonicWall avait été violé en exploitant des «vulnérabilités probables du jour zéro» dans ses dispositifs d’accès à distance de la série SMA 100.

Une exploitation réussie de la faille donnerait à un attaquant la possibilité d’accéder aux informations de connexion ainsi qu’aux informations de session qui pourraient ensuite être utilisées pour se connecter à une appliance de la série SMA 100 vulnérable non corrigée.

Publicité

Selon la filiale appartenant à FireEye, les intrusions se seraient produites en janvier et février 2021, l’acteur menaçant utilisant un logiciel malveillant appelé SombRAT pour déployer le ransomware FIVEHANDS. Il convient de noter que SombRAT a été découvert en novembre 2020 par des chercheurs de BlackBerry dans le cadre d’une campagne appelée CostaRicto entreprise par un groupe de hackers mercenaires.

Auditeur De Mot De Passe

Les attaques UNC2447 impliquant des infections par ransomware ont été observées pour la première fois dans la nature en octobre 2020, compromettant initialement les cibles avec Hello Kitty ransomware, avant de l’échanger contre FIVEHANDS en janvier 2021. Incidemment, les deux souches de ransomware, écrites en C ++, sont des réécritures d’un autre ransomware appelé MortRansom.

« Sur la base des observations techniques et temporelles des déploiements HelloKitty et FIVEHANDS, HelloKitty a peut-être été utilisé par un programme d’affiliation global de mai 2020 à décembre 2020, et FIVEHANDS depuis environ janvier 2021 », ont déclaré les chercheurs.

FIVEHANDS diffère également de DeathRansom et HelloKitty par l’utilisation d’un compte-gouttes de mémoire seule et de fonctionnalités supplémentaires qui lui permettent d’accepter des arguments de ligne de commande et d’utiliser le Gestionnaire de redémarrage de Windows pour fermer un fichier actuellement utilisé avant le chiffrement.

La divulgation intervient moins de deux semaines après que FireEye a divulgué trois vulnérabilités jusque-là inconnues dans le logiciel de sécurité de messagerie de SonicWall qui ont été activement exploitées pour déployer un shell Web pour un accès par porte dérobée à la victime. FireEye suit cette activité malveillante sous le nom UNC2682.


Rate this post
Publicité
Article précédentRide Your Wave est une représentation magnifiquement tragique du chagrin dans l’anime
Article suivantExamen des moniteurs intra-auriculaires Ikko OH10 – Poinçons au-dessus de sa catégorie de poids
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici