WickrMe Ransomware

Description de WickrMe Ransomware

Une nouvelle opération de ransomware a commencé à cibler les serveurs Microsoft SharePoint, marquant la première fois que ce point d'entrée particulier a été utilisé pour infiltrer des réseaux d'entreprise privés et déployer des ransomwares. Les cibles précédentes de campagnes similaires étaient les serveurs de messagerie Microsoft Exchange, les passerelles Citrix, les équilibreurs de charge F5 BIG-IP et les produits VPN commercialisés par Pulse Secure, Fortinet et Palo Alto Network.

La campagne d'attaque est suivie par les fournisseurs de sécurité sous le nom de WickrMe Ransomware (Hello) en raison de l'utilisation de comptes de messagerie instantanée cryptés Wickr dans le cadre des canaux de communication que les victimes peuvent utiliser pour atteindre les cybercriminels. Le vecteur de compromis initial exploité par le WickMe Ransomware est une vulnérabilité connue (CVE-2019-0604) affectant les serveurs de collaboration d'équipe SharePoint de Microsoft. L'exploit permet à l'acteur de la menace d'établir le contrôle sur le serveur SharePoint et de fournir un shell Web corrompu. L'étape suivante consiste à créer une porte dérobée en installant une balise Cobalt Strike. Les pirates peuvent ensuite exécuter des scripts PowerShell automatisés qui finiront par supprimer et exécuter la charge utile finale - la menace Hello Ransomware, sur les systèmes compromis.

Les entreprises ont été averties de l'exploit

L'année dernière, Microsoft a publié un article de blog, traitant de l'augmentation significative des campagnes d'attaques observées qui ciblaient les vulnérabilités des périphériques réseau en tant que passerelles pour la diffusion de menaces de ransomware. Parmi les vulnérabilités spécifiques mentionnées dans l'article figurait également CVE-2019-0604. Microsoft exhorte les entreprises à corriger l'ensemble des exploits qui, selon eux, pourraient bientôt être ciblés par des groupes de ransomwares.

Le même bogue de serveur SharePoint a été exploité dans des campagnes lancées par des cybercriminels, des groupes d'espionnage parrainés par l'État et des APT (Advanced Persistent Threats) auparavant.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».


Le HTML n'est pas autorisé.