Un autre mois, une autre souche de ransomware. Celle-ci s’appelle Epsilon Red, un nom qui fait référence à un personnage ennemi peu connu de la série de comics Marvel X-Men. Le personnage de bande dessinée « Super Soldier » est d’origine russe et armé de quatre tentacules mécaniques.
Quant à la souche Epsilon du ransomware, elle utilise des scripts PowerShell plutôt que des tentacules et traque sélectivement les serveurs Exchange non patchés.
Si les noms des descripteurs et les extraits de code changent, les méthodologies restent les mêmes. On ne sait pas si le malware tire parti de l’exploit ProxyLogon rendu célèbre au début de l’année. Ce qui est clair, c’est qu’il a été identifié la semaine dernière après avoir fait sa première victime une semaine plus tôt, pour un montant d’environ 177000 euros.
Le plan d’attaque d’Epsilon Red consiste pour les attaquants à obtenir un point d’entrée dans un serveur Microsoft Exchange non patché. À partir de là, ils utilisent des outils de script pour installer d’autres logiciels sur des machines accessibles depuis le serveur Exchange.
Il s’agit notamment d’une série de scripts PowerShell portant des noms rudimentaires tels que 1.pas1 à 12.ps1.
Bien que les scripts eux-mêmes n’aient rien de très avancé, les analystes affirment qu’ils pourraient être en mesure d’échapper à l’attention des outils antimalware de base suffisamment longtemps pour accomplir les tâches qui leur sont assignées.
Voici quelques-unes des tâches assignées :
- Modifier les règles du pare-feu local pour permettre aux attaquants d’établir des connexions à distance ;
- Désactiver le processus susceptible de verrouiller les fichiers et d’empêcher leur chiffrement ;
- Supprimer toute copie d’ombre de volume afin d’empêcher la récupération locale des fichiers ;
- Désinstaller les logiciels de sécurité tels que Trend Micro, MalwareBytes, Webroot, etc. ;
- Désactiver Windows Defender ;
- Supprimer les journaux de Windows Even ;
- Étendre les permissions sur le système afin que le groupe « Tout le monde » ait accès à tous les lecteurs ;
- Copier le gestionnaire de comptes de sécurité de Windows pour récupérer les mots de passe stockés sur un ordinateur local.
Jusqu’à présent, les attaquants ont également téléchargé et installé une application commerciale appelée « Remote Utilities » et le navigateur Tor comme alternative de secours pour obtenir le contrôle d’un réseau.
La dernière étape effectuée par les scripts consiste à livrer la charge utile proprement dite. La charge utile consiste en un fichier appelé Red.exe. Une fois téléchargée, la charge utile se met au travail et analyse les disques durs locaux afin de compiler une liste de tous les fichiers et chemins de répertoire.
C’est à ce moment-là que le processus de chiffrement commence. Une fois qu’un fichier est chiffré, il porte l’extension « .epsilonred ».
L’étape finale consiste à déposer une note de rançon pour alerter la victime et lui fournir des instructions supplémentaires.
Bien que la note du ransomware présente des points communs avec les notes émises par le gang du ransomware REvil, on pense que le groupe à l’origine de la variante EpsilonRed est composé d’armatures.
Certains experts sont sceptiques quant à la récupération des fichiers, car le processus de chiffrement utilisé n’exclut pas les fichiers système critiques et les bibliothèques de liens dynamiques, ce qui peut empêcher l’ordinateur de redémarrer correctement.
Une autre tendance croissante en matière de ransomware
Nous avons parlé de Ransomware 2.0 à plusieurs reprises sur le blog de TitanHQ, et de la façon dont les pirates exfiltrent les fichiers avant de les chiffrer afin de doubler leur pouvoir d’extorsion. De cette façon, si l’organisation victime est en mesure de récupérer ses fichiers par elle-même, elle peut menacer de rendre les fichiers publics ou de les vendre sur le marché libre.
Récemment, une nouvelle méthode d’attaque a été découverte, impliquant un double chiffrement. Dans ce cas, les attaquants utilisent plusieurs types de ransomwares en tandem pour chiffrer les fichiers d’un réseau ciblé.
Il existe deux façons d’utiliser ces souches multiples dans une attaque. La première consiste à chiffrer les fichiers à l’aide d’un type de ransomware, puis à les rechiffrer avec une autre variante.
L’autre consiste à utiliser ce que l’on appelle le chiffrement côte à côte, c’est-à-dire que les fichiers ne sont chiffrés qu’une seule fois, mais que différents systèmes sont chiffrés avec des variantes différentes.
Cette nouvelle tactique s’explique par un certain nombre de raisons. Au minimum, l’utilisation de plusieurs souches de ransomware complique et allonge le processus de restauration.
Par conséquent, la probabilité qu’une victime se remette d’une attaque par ses propres moyens est considérablement réduite. Cela donne également aux attaquants la possibilité de déterminer l’efficacité de différentes souches à la fois.
Le véritable avantage est toutefois la possibilité d’augmenter le montant de la rançon. Les attaquants peuvent émettre deux notes de rançon au début pour s’assurer que la victime est consciente de la complexité supplémentaire de sa situation.
Dans d’autres cas, les victimes ne voient qu’une seule note de rançon et ne découvrent la deuxième couche de chiffrement qu’après avoir payé pour éliminer la première.
La cybersécurité est une cible mouvante. Les créateurs de ransomwares continuent de publier de nouvelles souches pour tirer parti des nouveaux kits d’exploitation découverts ainsi que de nouvelles innovations furtives pour éviter la détection.
En même temps, les escrocs expérimentent de nouvelles tactiques et stratégies afin d’améliorer leur efficacité. Voici pourquoi il est important de s’allier à d’excellents partenaires en matière de cybersécurité.
Vous pouvez protéger votre entreprise contre la menace toujours plus grande des ransomwares.
TitanHQ protège votre entreprise en utilisant une sécurité multicouche pour bloquer les menaces avancées.
Contactez l’équipe TitanHQ et parlez à un expert en matière de cybersécurité dès aujourd’hui.