CISA met en garde contre un nouveau ransomware de cryptage de fichiers FiveHands.

0 0
 
CISA met en garde contre un nouveau ransomware de cryptage de fichiers FiveHands.

Nouveau ransomware : CISA met en garde contre la variante du logiciel malveillant de cryptage de fichiers FiveHands

Un nouveau malware a déjà été utilisé dans une cyberattaque contre une organisation.

 

La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a averti les organisations de se méfier d’une variante de ransomware relativement nouvelle appelée FiveHands.

 

Le ransomware FiveHands existe depuis janvier 2021, mais CISA a déclaré qu’il était « au courant d’une cyberattaque récente et réussie contre une organisation » utilisant cette souche de malware de cryptage de fichiers.

 

Le groupe utilisant FiveHands utilise les mêmes tactiques que le groupe de ransomware DarkSide qui retient Colonial Pipeline en rançon, en ce sens que le groupe crypte non seulement les données d’une cible, mais en vole une partie et menace de les divulguer en ligne à moins que les demandes de paiement de l’attaquant ne soient satisfaites.

 

Le bras de réponse aux incidents de FireEye, Mandiant, qui suit le groupe FiveHands sous le nom UNC2447, a détecté le groupe exploitant une faille zéro jour dans le VPN SonicWall (CVE-2021-20016), selon un rapport d’avril.

 

Les attaquants ciblaient les produits d’accès à distance SonicWall Secure Mobile Access SMA 100 non corrigés, pour lesquels des correctifs ont été publiés en février.

 

Les outils accessibles au public que le groupe utilise incluent le SoftPerfect Network Scanner for Discovery et le programme d’administration à distance de Microsoft, PsExec.exe, et son ServeManager.exe associé.

 

« Pour contrecarrer la récupération des données, le ransomware utilise Windows Management Instrumentation (WMI) pour énumérer les clichés instantanés de volume à l’aide de la commande select * de Win32_ShadowCopy, puis supprime les copies par ID (Win32_ShadowCopy.ID) »

note CISA dans son rapport d’analyse ( AR21-126A).

 

« Le malware chiffrera également les fichiers dans le dossier de récupération dans C:Recovery. Une fois les fichiers chiffrés, le programme écrira une demande de rançon dans chaque dossier et répertoire du système appelé read_me_unlock.txt. »

 

Le composant SombRAT permet aux attaquants de télécharger et d’exécuter à distance des DLL (plugins logiciels) malveillants sur le réseau cible. Il sert également de composant principal de l’infrastructure de commandement et de contrôle de l’attaquant.

 

« Le RAT fournit la plupart de ses capacités C2 à l’opérateur distant en permettant à l’opérateur distant de transférer en toute sécurité des plug-ins DLL exécutables vers le système cible via une session SSL protégée et de charger ces plug-ins à volonté via le cadre de plug-in intégré »

explique CISA .

 

« Le malware natif lui-même ne fournit pas beaucoup de fonctionnalités réelles à l’opérateur sans le code fourni par les plugins. »

 

Sans les plugins, le RAT peut autrement collecter des données système, telles que le nom de l’ordinateur, le nom de l’utilisateur, le processus actuel, la version du système d’exploitation et le processus actuel sous lequel il se fait passer pour.

 

Certaines recommandations clés proposées par CISA consistent à mettre à jour les signatures antivirus et à s’assurer que le système d’exploitation est mis à jour avec les derniers correctifs. Il recommande également de désactiver les services de partage de fichiers et d’imprimantes, de mettre en œuvre les moindres privilèges et d’activer l’authentification multifacteur sur toutes les connexions VPN, les services externes et les comptes privilégiés. En outre, les organisations doivent mettre hors service les services VPN inutilisés et surveiller le trafic réseau pour détecter les protocoles non approuvés, en particulier ceux utilisés pour les connexions sortantes vers Internet, tels que SSH, SMB et RDP.

 

Séparément, CISA a publié aujourd’hui le même conseil pour les organisations et les infrastructures critiques à la suite de l’attaque du ransomware Colonial Pipeline.

Laisser un commentaire

Votre adresse email ne sera pas publiée.

Abonnez-vous à notre newsletter
Inscrivez-vous ici pour recevoir les dernières nouvelles, mises à jour et offres spéciales directement dans votre boîte de réception.
Vous pouvez vous désabonner à tout moment

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More