Le ransomware DarkSide cible les fichiers cachés dans les partitions de disque
Les hackers de Colonial Pipeline sont à l'origine de cette nouvelle souche.
Les chercheurs en sécurité ont découvert que les pirates derrière
le pipeline colonial ont développé une nouvelle souche de ransomware qui cible les partitions de disque utilisées pour masquer les
fichiers de sauvegarde.
Les ransomwares devenant de plus en plus répandus, les administrateurs ont des
fichiers cachés sur les disques pour éviter que les systèmes ne soient
compromis.
Mais selon Fortinet, le gang de cybercriminels derrière le ransomware DarkSide a développé
une variante de malware qui recherche des partitions sur un système à démarrage
multiple pour trouver des fichiers supplémentaires à crypter, causant ainsi des
dommages plus importants et une incitation accrue à payer une rançon pour
récupérer des fichiers.
Les chercheurs ont déclaré que cette variante n'était pas la
version utilisée pour perturber les opérations de Colonial Pipeline. Il
a été programmé efficacement avec très peu d'espace gaspillé et un gonflement
minimal du compilateur, ce qui, selon les experts, est inhabituel pour la
plupart des logiciels malveillants.
La taille du fichier est relativement petite pour les logiciels
malveillants (57.856 octets) mais peut fournir une charge utile beaucoup plus
importante que la charge utile attendue, ont averti les chercheurs.
En plus de rechercher des partitions cachées, la variante du ransomware recherche les
contrôleurs de domaine au sein d'une organisation et se connecte à son annuaire
actif via l'authentification anonyme LDAP, en utilisant un mot de passe nul et
un nom d'utilisateur nul.
« Cette variante de DarkSide peut alors utiliser COM pour s'interfacer avec Active Directory
lui-même. En cas de succès, le logiciel malveillant tente de supprimer
certaines variables, telles que defaultNamingContext et dnsHostName », ont
déclaré les chercheurs.
Suite à une requête sur l'Active Directory d'une organisation, le ransomware tente ensuite
de crypter les fichiers dans les partages réseau dans cette section du code.
Les chercheurs ont noté que la variante évite les partages réseau nommés C $ et
ADMIN $, car les tentatives pour y accéder pourraient déclencher une alerte.
La variante analyse également les disques durs pour effectuer plus
d'actions. Dans ce cas, il analyse le lecteur pour voir s’il s’agit d’un
système à démarrage multiple pour trouver des volumes / partitions
supplémentaires et essayer de chiffrer également leurs fichiers.
Les chercheurs ont déclaré que les serveurs C2 du malware étaient
situés aux États-Unis avec KingServers B.V.
« KingServers a été classé comme un hôte à l'épreuve des balles par
la communauté infosec, et bien que basé aux Pays-Bas, il a des liens avec la
Russie, où se trouve DarkSide », ont déclaré les chercheurs.
Les chercheurs ont ajouté qu'en raison de la sophistication de ses
attaques et de son code, il est également improbable que le cerveau d'une seule
personne.
« Le niveau de détail, l'effort, la planification et le temps que
le groupe a entrepris, non seulement en créant le ransomware lui-même, mais en prenant le temps de noter quelles données ont
été volées, la quantité de données, ce qu'elles contenaient (ainsi que la
quantité de données en GB), puis pris pour organiser et faire honte aux
victimes, tous soulignent qu'il s'agit du travail d'une organisation disposant
de ressources et de temps considérables », ont ajouté des chercheurs.
SOURCE : Ici.
Commentaires
Enregistrer un commentaire