Les comptes d'administration détournés provoquent des attaques personnalisées par Ransomware

Une attaque de ransomware qui appelle la victime ciblée par son nom a frappé une entreprise de fabrication, selon les chercheurs de TrendMicro. Soi-disant exécutés vers la fin du 18 février, les acteurs en charge ont détourné un compte utilisateur administratif, créant une variante du ransomware BitPaymer à aide de outil de ligne de commande PsExec. En outre, ils se sont assurés de mettre le nom de l’organisation touchée dans la note de rançon elle-même, ce qui correspond parfaitement à l’ attaque de ransomware iEncrypt contre la société Arizona Beverage plus tôt ce mois-ci. Semblable à BitPaymer , iEncrypt comportait également le nom de la victime dans la note de rançon, ce qui implique que les deux menaces peuvent avoir une connexion.

attaque a réussi grâce à une infection antérieure à Dridex

Selon l’équipe de sécurité de TrendMicro, l’infection du 18 février a été couronnée de succès après que les pirates informatiques responsables aient tenté à plusieurs reprises de déployer à distance l’agent Empire PowerShell post-exploitation sur des ordinateurs de niveau administrateur ciblés au hasard. Toutefois, ce succès est probablement dû à une infection antérieure à Dridex, non seulement survenue à l’avance, mais également passée inaperçue de la société.

Outre affaire Arizona Beverage et quelques attaques perpétrées contre plusieurs entreprises fin 2018, il agit de la plus récente occasion pour les cybercriminels de adresser nominalement à leur victime dans le texte même de la note de rançon. De plus, le nom de la société fonctionnait également comme une extension de fichier ajoutée à toutes les données chiffrées. Ce que dit la note, cependant, est évident dans le texte ci-dessous:

Bonjour [Nom de la victime]

Votre réseau a été piraté et crypté. Aucun logiciel de décryptage gratuit est disponible sur le Web. Envoyez-nous un email à [caractères illisibles] @ protonmail.com (ou) [caractères illisibles] @ india.com pour obtenir le montant de la rançon. Gardez nos contacts en sécurité. La divulgation peut entraîner impossibilité de déchiffrer. il vous plaît, utilisez le nom de votre entreprise comme sujet de email. TAIL: [caractères aléatoires] KEY: [caractères aléatoires]

La note de rançon contient non seulement le nom de la victime, mais également la clé de cryptage. Puisque ce dernier est une condition préalable à un déchiffrement réussi.

Enregistrer pour le nom et extension, le code reste le même

Comme indiqué ci-dessus, ce est pas la première fois que les chercheurs en sécurité rencontrent une infection par BitPaymer ransomware. Le nouveau boîtier ne contient pas non plus de variante BitPaymer toute neuve. Un examen plus attentif du code ne révèle aucune différence significative par rapport aux attaques de année dernière. La seule variable qui semble être le nom de l’organisation affectée dans la note de rançon. Contrairement aux précédentes infections BitPaymer qui ajoutaient extension .locked aux données chiffrées, la plus récente du 18 février 2019 utilisait plutôt le nom de la victime.

L’attaque du ransomware de BitPaymer souligne la nécessité de renforcer les mécanismes de protection des outils d’administrateur système, car ils sont constamment objet de tentatives exploitation. De plus, exécuter un service de surveillance active avec une solution anti-malware ne ferait pas de mal non plus.