WastedLocker: une variante complexe de ransomware qui cible les grandes entreprises

Un ransomware est un type de logiciel malveillant conçu pour verrouiller des fichiers sur un ordinateur ou un système jusqu'à ce qu'une rançon soit payée. L'un des premiers ransomwares jamais documentés était le PC Cyborg de 1989 - il exigeait un maigre paiement de rançon de 189 $ pour décrypter les fichiers verrouillés.

La technologie informatique a parcouru un long chemin depuis 1989, et les ransomwares ont évolué avec elle, conduisant à des variantes complexes et puissantes telles que WastedLocker. Alors, comment fonctionne WastedLocker? Qui en a été affecté? Et comment protéger vos appareils?

Qu'est-ce que WastedLocker et comment ça marche ?

Découvert pour la première fois au début de 2020, WastedLocker est exploité par le célèbre groupe de hackers Evil Corp, qui est également connu sous le nom d'INDRIK SPIDER ou le gang Dridex, et a très probablement des liens avec les agences de renseignement russes.

Le bureau du contrôle des avoirs étrangers du département du Trésor des États-Unis a imposé des sanctions contre Evil Corp en 2019 et le ministère de la Justice a inculpé son chef présumé Maksim Yakubets, ce qui a contraint le groupe à changer de tactique.

Les attaques WastedLocker commencent généralement par SocGholish, un cheval de Troie d'accès à distance (RAT) qui se fait passer pour le navigateur et les mises à jour Flash pour inciter la cible à télécharger des fichiers malveillants.

EN RELATION: Qu'est-ce qu'un cheval de Troie d'accès à distance ?

Une fois que la cible a téléchargé la fausse mise à jour, WastedLocker crypte efficacement tous les fichiers sur son ordinateur et les ajoute avec "gaspillé", qui semble être un clin d'œil aux mèmes Internet inspirés du jeu vidéo Grand Theft Auto séries.

Ainsi, par exemple, un fichier initialement nommé « muo.docx » apparaîtrait sous le nom « muo.docx.wasted » sur une machine compromise.

Pour verrouiller les fichiers, WastedLocker utilise une combinaison de Advanced Encryption Standard (AES) et Algorithmes de cryptage Rivest-Shamir-Adleman (RSA), qui rendent le décryptage pratiquement impossible sans Evil Clé privée de la société.

L'algorithme de chiffrement AES est utilisé par les institutions financières et les gouvernements - la National Security Agency (NSA), par exemple, l'utilise pour protéger les informations top secrètes.

Nommé d'après trois scientifiques du Massachusetts Institute of Technology (MIT) qui l'ont décrit publiquement pour la première fois dans le 1970, l'algorithme de cryptage RSA est considérablement plus lent que AES et principalement utilisé pour crypter de petites quantités de Les données.

WastedLocker laisse une demande de rançon pour chaque fichier qu'il crypte et demande à la victime de contacter les attaquants. Le message contient généralement une adresse e-mail Protonmail, Eclipso ou Tutanota.

Les notes de rançon sont généralement personnalisées, mentionnent l'organisation cible par son nom et mettent en garde contre le contact avec les autorités ou le partage des e-mails de contact avec des tiers.

Conçu pour cibler les grandes entreprises, le malware exige généralement des paiements de rançon allant jusqu'à 10 millions de dollars.

Attaques de haut niveau de WastedLocker

En juin 2020, Symantec découvert 31 attaques WastedLocker contre des entreprises basées aux États-Unis. La grande majorité des organisations ciblées étaient de grands noms bien connus et 11 étaient des sociétés Fortune 500.

Le ransomware visait des entreprises de divers secteurs, notamment la fabrication, les technologies de l'information, les médias et les télécommunications.

Evil Corp a pénétré les réseaux des entreprises ciblées, mais Symantec a réussi à empêcher les pirates de déployer WastedLocker et de conserver des données contre rançon.

Le nombre total réel d'attaques peut être beaucoup plus élevé car le ransomware a été déployé sur des dizaines de sites d'actualités légitimes et populaires.

Inutile de dire que les entreprises qui valent des milliards de dollars ont une protection de premier ordre, ce qui en dit long sur la dangerosité de WastedLocker.

Le même été, Evil Corp a déployé WastedLocker contre la société américaine de GPS et de suivi de fitness Garmin, dont le chiffre d'affaires annuel est estimé à plus de 4 milliards de dollars.

En tant que société israélienne de cybersécurité Vôtiro noté à l'époque, l'attaque a paralysé Garmin. Elle a perturbé de nombreux services de l'entreprise, et a même eu un effet sur les centres d'appels et certaines lignes de production en Asie.

Garmin aurait payé une rançon de 10 millions de dollars pour retrouver l'accès à ses systèmes. Il a fallu plusieurs jours à l'entreprise pour que ses services soient opérationnels, ce qui a probablement causé des pertes financières massives.

Bien que Garmin ait apparemment pensé que payer la rançon était le moyen le meilleur et le plus efficace de remédier à la situation, il est important de noter qu'il ne faut jamais faire confiance aux cybercriminels - parfois ils ne sont pas incités à fournir une clé de déchiffrement après avoir reçu la rançon Paiement.

En règle générale, la meilleure solution en cas de cyberattaque est de contacter immédiatement les autorités.

En outre, les gouvernements du monde entier imposent des sanctions contre les groupes de hackers, et parfois ces sanctions s'appliquent également aux personnes qui soumettent ou facilitent le paiement d'une rançon, il existe donc également des risques juridiques pour envisager.

Qu'est-ce que Hades Variant Ransomware ?

En décembre 2020, des chercheurs en sécurité ont repéré une nouvelle variante de ransomware baptisée Hades (à ne pas confondu avec le Hades Locker 2016, qui est généralement déployé par courrier électronique sous la forme d'un MS Word attachement).

Une analyse de FouleGrève a constaté que Hades est essentiellement une variante compilée 64 bits de WastedLocker, mais a identifié plusieurs différences clés entre ces deux menaces de logiciels malveillants.

Par exemple, contrairement à WastedLocker, Hades ne laisse pas de note de rançon pour chaque fichier qu'il crypte, il crée une seule note de rançon. Et il stocke les informations clés dans des fichiers cryptés, au lieu de les stocker dans la note de rançon.

La variante Hadès ne laisse pas d'informations de contact; il dirige plutôt les victimes vers un site Tor, qui est personnalisé pour chaque cible. Le site Tor permet à la victime de décrypter un fichier gratuitement, ce qui est évidemment un moyen pour Evil Corp de démontrer que ses outils de décryptage fonctionnent réellement.

Hades a principalement ciblé les grandes organisations basées aux États-Unis avec des revenus annuels dépassant 1 $ milliards de dollars, et son déploiement a marqué une autre tentative créative d'Evil Corp pour renommer et échapper les sanctions.

Comment se protéger contre WastedLocker

Face à la recrudescence des cyberattaques, investir dans outils de protection contre les ransomwares est un must absolu. Il est également impératif de maintenir les logiciels à jour sur tous les appareils afin d'empêcher les cybercriminels d'exploiter les vulnérabilités connues.

Des variantes sophistiquées de ransomware telles que WastedLocker et Hades ont la capacité de se déplacer latéralement, ce qui signifie qu'elles peuvent accéder à toutes les données d'un réseau, y compris le stockage en nuage. C'est pourquoi le maintien d'une sauvegarde hors ligne est le meilleur moyen de protéger les données importantes des intrus.

Étant donné que les employés sont la cause la plus courante des violations, les organisations doivent investir du temps et des ressources dans la formation du personnel sur les pratiques de sécurité de base.

En fin de compte, la mise en œuvre d'un modèle de sécurité Zero Trust est sans doute le meilleur moyen de garantir qu'une organisation est protégé contre les cyberattaques, y compris celles menées par Evil Corp et d'autres pirates informatiques parrainés par l'État groupes.

Qu'est-ce qu'un réseau Zero Trust et comment protège-t-il vos données ?

Vous cherchez à protéger votre entreprise des cybercriminels? Les VPN sont excellents, mais ils pourraient ne pas être aussi efficaces que les ZTN avec des périmètres définis par logiciel.

Lire la suite

A propos de l'auteur