Min menu

Pages

Tout ce que l'on sait du ransomware Darkside

Le ransomware DarkSide cible les fichiers cachés dans les partitions de disque


Les hackers de Colonial Pipeline sont à l'origine de cette nouvelle souche.

Les chercheurs en sécurité ont découvert que les pirates derrière le pipeline colonial ont développé une nouvelle souche de ransomware qui cible les partitions de disque utilisées pour masquer les fichiers de sauvegarde.

Tout ce que l'on sait du ransomware Darkside


Les ransomwares devenant de plus en plus répandus, les administrateurs ont des fichiers cachés sur les disques pour éviter que les systèmes ne soient compromis.

Mais selon Fortinet, le gang de cybercriminels derrière le ransomware DarkSide a développé une variante de malware qui recherche des partitions sur un système à démarrage multiple pour trouver des fichiers supplémentaires à crypter, causant ainsi des dommages plus importants et une incitation accrue à payer une rançon pour récupérer des fichiers.

Les chercheurs ont déclaré que cette variante n'était pas la version utilisée pour perturber les opérations de Colonial Pipeline. Il a été programmé efficacement avec très peu d'espace gaspillé et un gonflement minimal du compilateur, ce qui, selon les experts, est inhabituel pour la plupart des logiciels malveillants.

La taille du fichier est relativement petite pour les logiciels malveillants (57.856 octets) mais peut fournir une charge utile beaucoup plus importante que la charge utile attendue, ont averti les chercheurs.

En plus de rechercher des partitions cachées, la variante du ransomware recherche les contrôleurs de domaine au sein d'une organisation et se connecte à son annuaire actif via l'authentification anonyme LDAP, en utilisant un mot de passe nul et un nom d'utilisateur nul.

« Cette variante de DarkSide peut alors utiliser COM pour s'interfacer avec Active Directory lui-même. En cas de succès, le logiciel malveillant tente de supprimer certaines variables, telles que defaultNamingContext et dnsHostName », ont déclaré les chercheurs.

Suite à une requête sur l'Active Directory d'une organisation, le ransomware tente ensuite de crypter les fichiers dans les partages réseau dans cette section du code. Les chercheurs ont noté que la variante évite les partages réseau nommés C $ et ADMIN $, car les tentatives pour y accéder pourraient déclencher une alerte.

La variante analyse également les disques durs pour effectuer plus d'actions. Dans ce cas, il analyse le lecteur pour voir s’il s’agit d’un système à démarrage multiple pour trouver des volumes / partitions supplémentaires et essayer de chiffrer également leurs fichiers.

Les chercheurs ont déclaré que les serveurs C2 du malware étaient situés aux États-Unis avec KingServers B.V.

« KingServers a été classé comme un hôte à l'épreuve des balles par la communauté infosec, et bien que basé aux Pays-Bas, il a des liens avec la Russie, où se trouve DarkSide », ont déclaré les chercheurs.

Les chercheurs ont ajouté qu'en raison de la sophistication de ses attaques et de son code, il est également improbable que le cerveau d'une seule personne.

« Le niveau de détail, l'effort, la planification et le temps que le groupe a entrepris, non seulement en créant le ransomware lui-même, mais en prenant le temps de noter quelles données ont été volées, la quantité de données, ce qu'elles contenaient (ainsi que la quantité de données en GB), puis pris pour organiser et faire honte aux victimes, tous soulignent qu'il s'agit du travail d'une organisation disposant de ressources et de temps considérables », ont ajouté des chercheurs.

SOURCE : Ici.

reaction:

Commentaires