Le framework de logiciels malveillants multiplateforme MATA backdoor a été utilisé dans le ransomware VHD, exposant le groupe APT Lazarus comme les bailleurs de fonds du .
En analysant deux cas de rançongiciels VHD lors d'attaques en Europe et en Asie, les chercheurs de Kaspersky ont pu les relier au célèbre groupe APT nord-coréen Lazarus. Le développement des rançongiciels et leurs motivations financières indiquent un changement de stratégie de la part du groupe ; les deux sont très inhabituels pour un groupe APT parrainé par le gouvernement.
En mars et avril 2020, il y a eu des premiers rapports sur le soi-disant rançongiciel VHD, qui se caractérise par sa capacité d'auto-réplication et vise à extorquer de l'argent à ses victimes. L'utilisation d'un programme compilé avec des informations d'identification spécifiques à la victime pour diffuser le logiciel malveillant est similaire à ce que font les campagnes APT. Les chercheurs de Kaspersky ont pu lier le ransomware au groupe Lazarus APT après avoir analysé un incident dans lequel le ransomware VHD a été utilisé en étroite association avec des outils Lazarus connus contre des entreprises en France et en Asie.
La porte dérobée du framework de logiciels malveillants multiplateforme MATA expose les bailleurs de fonds
Entre mars et mai 2020, les experts de Kaspersky ont mené deux enquêtes indépendantes liées au rançongiciel VHD. Lors du premier incident en Europe, il y avait peu de preuves quant à qui était derrière les attaques, même si les techniques de propagation étaient similaires à celles utilisées par les groupes APT. En général, l'attaque n'était pas conforme au modus operandi habituel des groupes bien connus ciblant des cibles importantes et importantes. De plus, il n'y avait qu'un nombre très limité d'échantillons de rançongiciels malveillants et de cas rendus publics, ce qui suggère que cette famille de logiciels malveillants n'est peut-être pas largement échangée sur les forums clandestins comme d'habitude.
Cependant, lors de la deuxième attaque, dans laquelle un rançongiciel VHD a été utilisé, la chaîne d'infection a pu être retracée ; les chercheurs ont ainsi pu lier le malware au groupe Lazarus. Entre autres choses, les personnes à l'origine de l'attaque ont utilisé une porte dérobée qui fait partie du framework multiplateforme MATA - dont Kaspersky a récemment rendu compte en détail - et qui peut être attribuée à ce groupe APT en raison de similitudes dans le code et les outils. Selon les données de télémétrie de Kaspersky, les victimes infectées par le cadre MATA se trouvaient en Allemagne, en Pologne, en Turquie, en Corée, au Japon et en Inde.
Chiffrement du cheval de Troie VHD : Résultats des attaques évaluées
Ces résultats suggèrent que Lazarus est à l'origine des campagnes de rançongiciels VHD détectées jusqu'à présent. Le ransomware utilisé a été développé et exploité par le groupe lui-même, ce qui est assez inhabituel dans le milieu de la cybercriminalité.
"Nous savions que les activités de Lazarus visaient toujours un gain financier, mais depuis WannaCry [4], il n'y a eu aucune activité liée aux ransomwares de la part du groupe", commente Ivan Kwiatkowski, chercheur en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. . "Bien qu'il soit évident que le groupe ne peut pas égaler l'efficacité des autres cybercriminels avec cette approche de type raid contre les ransomwares, il est inquiétant qu'ils se soient tournés vers ce type d'attaque. La menace mondiale des ransomwares est déjà suffisamment importante et a souvent un impact financier important sur les victimes, les mettant parfois en faillite. La question que nous devons nous poser est de savoir si ces attaques sont une expérience ponctuelle ou font partie d'une nouvelle tendance et, par conséquent, si les entreprises privées doivent s'inquiéter de devenir la proie d'acteurs menaçants parrainés par l'État. Quoi qu'il en soit, les organisations doivent être conscientes que la confidentialité est plus importante que jamais. Sauvegarder les données essentielles et investir dans des défenses réactives est un must absolu.
Conseils de Kaspersky pour se protéger contre les attaques de ransomwares
- Éduquez les employés sur la manière dont le phishing propage les ransomwares et sur ce à quoi les employés doivent faire attention pour éviter d'être compromis par les ransomwares. Des concepts de formation spéciaux tels que Kaspersky Automated Security Awareness Platform peuvent vous aider ici.
- Les entreprises doivent s'assurer que toutes les solutions logicielles, applications et systèmes utilisés sont toujours à jour. L'utilisation d'une solution de sécurité avec des fonctions de gestion des vulnérabilités et des correctifs telles que Kaspersky Vulnerability and Patch Management aide à identifier les vulnérabilités non corrigées dans votre propre réseau.
- Effectuez régulièrement des audits de cybersécurité de vos propres réseaux et éliminez les vulnérabilités découvertes.
- Tous les terminaux et serveurs doivent être protégés par une solution complète. Une solution correspondante telle que Kaspersky Integrated Endpoint Security combine la sécurité des terminaux avec la fonctionnalité sandbox et EDR, permettant une protection contre les menaces connues et inconnues.
- L'équipe de sécurité doit toujours disposer de données de renseignement sur les menaces à jour pour se tenir au courant des outils, techniques et tactiques nouveaux et émergents utilisés par les acteurs de la menace et les cybercriminels.
- Les rançongiciels sont une infraction pénale. Par conséquent, les entreprises qui deviennent victimes ne doivent jamais répondre aux demandes de rançon et ne doivent pas payer. Au lieu de cela, l'incident doit être signalé aux forces de l'ordre locales. De plus, il existe des outils de décryptage gratuits sur nomoreransom.orgqui peut restaurer les données si nécessaire.
En savoir plus sur Securelist.com de Kaspersky
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/