WickrMe Ransomware

Description de WickrMe Ransomware

Une nouvelle opération de ransomware a commencé à cibler les serveurs Microsoft SharePoint, marquant la première fois que ce point d'entrée particulier a été utilisé pour infiltrer des réseaux d'entreprise privés et déployer des ransomwares. Les cibles précédentes de campagnes similaires étaient les serveurs de messagerie Microsoft Exchange, les passerelles Citrix, les équilibreurs de charge F5 BIG-IP et les produits VPN commercialisés par Pulse Secure, Fortinet et Palo Alto Network.

La campagne d'attaque est suivie par les fournisseurs de sécurité sous le nom de WickrMe Ransomware (Hello) en raison de l'utilisation de comptes de messagerie instantanée cryptés Wickr dans le cadre des canaux de communication que les victimes peuvent utiliser pour atteindre les cybercriminels. Le vecteur de compromis initial exploité par le WickMe Ransomware est une vulnérabilité connue (CVE-2019-0604) affectant les serveurs de collaboration d'équipe SharePoint de Microsoft. L'exploit permet à l'acteur de la menace d'établir le contrôle sur le serveur SharePoint et de fournir un shell Web corrompu. L'étape suivante consiste à créer une porte dérobée en installant une balise Cobalt Strike. Les pirates peuvent ensuite exécuter des scripts PowerShell automatisés qui finiront par supprimer et exécuter la charge utile finale - la menace Hello Ransomware, sur les systèmes compromis.

Les entreprises ont été averties de l'exploit

L'année dernière, Microsoft a publié un article de blog, traitant de l'augmentation significative des campagnes d'attaques observées qui ciblaient les vulnérabilités des périphériques réseau en tant que passerelles pour la diffusion de menaces de ransomware. Parmi les vulnérabilités spécifiques mentionnées dans l'article figurait également CVE-2019-0604. Microsoft exhorte les entreprises à corriger l'ensemble des exploits qui, selon eux, pourraient bientôt être ciblés par des groupes de ransomwares.

Le même bogue de serveur SharePoint a été exploité dans des campagnes lancées par des cybercriminels, des groupes d'espionnage parrainés par l'État et des APT (Advanced Persistent Threats) auparavant.