Connect with us

Technologie

Les chercheurs lient le botnet Dridex au ransomware émergent Entropy

Published

on


Les chercheurs de Sophos ont établi un lien entre le cheval de Troie Dridex et un ransomware nouvellement émergent baptisé Entropy, avec un certain nombre de similitudes de code dans le packeur de logiciels, les sous-routines de logiciels malveillants qui trouvent et obscurcissent les commandes, et les sous-routines utilisées pour déchiffrer les données cryptées.

Sophos a frappé sur les liens tout en enquêtant sur deux attaques différentes – l’une contre une organisation médiatique en Amérique du Nord et l’autre contre une organisation gouvernementale régionale – dans lesquelles Dridex a été utilisé comme vecteur pour fournir le ransomware Entropy.

Dans les deux attaques, les auteurs de la menace ont utilisé des versions spécialement conçues de la bibliothèque de liens dynamiques (DLL) Entropy qui incorporait le nom de la cible dans le code du ransomware, suivi d’une ligne du roman pour jeunes adultes de 2005 À la recherche de l’Alaska par John Green – « L’entropie augmente. Les choses s’effondrent » – d’où sa nomenclature. Ils ont ensuite déployé Cobalt Strike sur leurs systèmes pour exfiltrer des données à l’aide de l’outil de compression WinRAR légitime, après quoi ils ont lancé le ransomware.

Andrew Brandt, chercheur principal chez Sophos, a déclaré : « Il n’est pas rare que les opérateurs de logiciels malveillants partagent, empruntent ou volent le code de l’autre, soit pour s’épargner l’effort de créer leur propre attribution intentionnellement induite en erreur ou distraire les chercheurs en sécurité. Cette approche rend plus difficile la recherche de preuves corroborant une « famille » de logiciels malveillants connexes ou l’identification de « faux drapeaux » qui peuvent faciliter le travail des attaquants et celui des enquêteurs.

« Dans cette analyse, Sophos s’est concentré sur les aspects du code que Dridex et Entropy utilisaient apparemment pour rendre l’analyse médico-légale plus difficile. Il s’agit notamment du code packer, qui empêche une analyse statique facile du logiciel malveillant sous-jacent, d’une sous-routine que les programmes utilisent pour dissimuler les appels de commande (API) qu’ils effectuent et d’une sous-routine qui déchiffre les chaînes de texte chiffrées incorporées dans le logiciel malveillant. Les chercheurs ont constaté que les sous-routines des deux logiciels malveillants ont un flux de code et une logique fondamentalement similaires.

Cependant, il y avait aussi des différences notables dans la façon dont les attaquants s’y prenaient pour compromettre leurs cibles.

Dans l’attaque contre l’organisation médiatique anonyme, par exemple, les acteurs ont utilisé la tristement célèbre vulnérabilité ProxyShell pour accéder à un serveur Exchange non corrigé, où ils ont installé un shell distant qu’ils pourraient utiliser pour diffuser des balises Cobalt Strike. Ils ont traîné dans le réseau de leur victime pendant quatre mois avant de lancer le ransomware hit.

Cependant, dans l’autre attaque, la victime a été compromise par le malware Dridex propagé via une pièce jointe malveillante. Une fois déployés, les attaquants ont utilisé Dridex pour diffuser des logiciels malveillants et commencer à se déplacer latéralement sur le réseau. Dans ce cas, le temps de séjour est tombé à un peu plus de trois jours avant que les attaquants ne commencent à exfiltrer des données.

Sophos a également noté que dans les deux attaques, le gang derrière Entropy a tiré parti de systèmes Windows non corrigés et vulnérables et a abusé d’outils légitimes – les victimes n’avaient clairement pas prêté attention à certains aspects critiques de l’hygiène de la cybersécurité, notamment les correctifs et la formation anti-phishing.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance