NHS a mis en garde sur Ryuk propagation par les remplacements Trickbot

Dans le sillage d’une série d’attaques contre des cibles de soins de santé américaines, NHS Digital a averti les organisations de services de santé du Royaume-Uni d’être sur le qui-vive après avoir enregistré une augmentation significative de l’utilisation de divers chargeurs, y compris Bazar et Buer, presque certainement le résultat de la prise en charge par Microsoft du cheval de Troie Trickbot devenu botnet en Octobre 2020.

Bazar, un jeu d’outils modulaire conçu par les opérateurs de Trickbot, Wizard Spider, intègre une grande partie de la même fonctionnalité que Trickbot, tandis que Buer, observé pour la première fois en 2019, est vendu comme un malware alternatif moins cher-comme-un-service dropper.

NHS Digital a déclaré qu’il a évalué que Bazar en particulier est maintenant le principal outil post-accès de Wizard Spider, et de multiples équipes de recherche en sécurité ont corroboré cela.

Les chercheurs de Cofense Intelligence ont déclaré que l’utilisation accrue de Bazar pour livrer Ryuk a effectivement suivi de près avec la perturbation des opérations Trickbot.

« Au cours des dernières semaines, nous avons évalué avec une grande confiance que BazarBackdoor a été le chargeur le plus prédominant de Ryuk », a déclaré le cabinet. « Avec une confiance plus faible, nous estimons que cette vague d’activité de Ryuk pourrait être, en partie, en représailles aux perturbations de TrickBot en septembre. »

Les composants de Bazar sont généralement livrés dans des campagnes de phishing sous-exploitées par Sendgrid, un service de marketing par courriel de bonne foi. Les e-mails contiennent des liens vers des fichiers Microsoft Office ou Google Docs, et l’attrait se rapporte généralement à une menace de licenciement d’employé ou d’un paiement par débit.

À leur tour, ces e-mails lien vers la charge utile initiale, un chargeur préliminaire sans tête qui finalement télécharge, déballe et charge Bazar. L’entreprise a ajouté que les nouvelles campagnes semblent renoncer à la distribution de spam au profit d’attaques à commande humaine contre les interfaces d’administration exposées ou les services cloud.

En règle générale, une fois qu’ils ont pris le contrôle du système cible à l’aide de Bazar, Wizard Spider téléchargera une boîte à outils post-exploitation, comme Cobalt Strike ou Metasploit, pour recueillir des informations ciblées et énumérer le réseau, à quel point ils récolteront les informations d’identification pour passer à d’autres systèmes et compromettre l’ensemble du réseau – puis ils déploieront ransomware Ryuk. NHS Digital a déclaré que les campagnes bazar actuelles pourraient y parvenir en moins de cinq heures.

Buer, quant à lui, est également propagé par le phishing lance, et peut également finalement entraîner une attaque ransomware Ryuk.

« Etants, nous avons eu un peu de temps pour les gens qui ont été en sécurité et nous avons besoin d’un bon travail pour les gens qui ont besoin de faire ce qu’ils ont fait. » « Près de 85 % des attaques qui [recently launched] Sophos Rapid Response a été impliqué dans jusqu’à présent inclus ransomware – notamment Ryuk, REvil / Sodinokibi et Maze – et je peux dire avec confiance que la plupart des autres attaques que nous avons été appelés à arrêter aurait également abouti à ransomware, si nous n’avions pas agi si rapidement.

« Des outils facilement accessibles permettent aux attaquants d’obtenir des paiements plus importants en une semaine de travail que la plupart des gens ne le feront au cours de leur vie. Les criminels s’infiltrent dans les réseaux et planifient furtivement leurs attaques en arrière-plan avant de lancer stratégiquement ransomware comme la charge utile finale – souvent pendant les heures de nuit où personne ne regarde afin d’exécuter sur autant de machines que possible. »

Mackenzie a ajouté: « Sophos Rapid Response prend des mesures immédiates pour éteindre l’incendie, qui dans le cas d’un hôpital que nous avons aidé ce mois-ci après qu’il a été frappé par Ryuk ransomware et a été forcé de fermer, signifiait la différence de vie ou de mort. »

NHS Digital a produit des conseils spécifiques en matière d’assainissement pour permettre aux organisations du NHS de prévenir et de détecter les infections à Bazar et Buer, ainsi que des indicateurs de compromis.