Le 12 mai, les experts de Kaspersky Lab ont
publié un grand rapport sur l'évolution des attaques avec cryptage des données et extorsion consécutive. L'article se concentre principalement sur l'organisation de cette activité criminelle et examine les attaques contre les grandes entreprises. L'une des tendances claires de l'année a été la chasse au «gros gibier» par des gangs criminels - des organisations relativement importantes capables de payer une rançon sérieuse en monnaie numérique. Le rapport intervient au milieu des nouvelles quotidiennes d'attaques contre des entreprises, y compris des événements de grande envergure tels que l'attaque contre la société Colonial Pipeline.
La chose la plus importante à savoir sur ces groupes est qu'ils sont complexes et ne fonctionnent pas de manière autonome. Il ne sera pas possible de se débarrasser de cette menace, même si les organisateurs d'une campagne distincte sont retrouvés et arrêtés. L'écosystème ne cessera de fonctionner que s'il perd ses revenus, c'est-à-dire lorsque les personnes touchées cesseront de payer la rançon. L'étude fournit des exemples de recrutement de nouvelles organisations et identifie les rôles typiques: fournisseurs d'informations d'identification, développeurs de logiciels malveillants, analystes responsables du blanchiment de crypto-monnaie.
Le mythe le plus pertinent, réfuté dans l'article, est l'affirmation selon laquelle les cibles des attaques sont sélectionnées à l'avance. En fait, ils sont trouvés au hasard. Le plus souvent, les propriétaires de botnets et les courtiers vendant l'accès aux ordinateurs et serveurs compromis publient des informations sur les victimes potentielles, et les objectifs sont déterminés «en fonction de la disponibilité». Il existe ici une recommandation importante pour les professionnels de la sécurité informatique: vous devez détecter en temps opportun les incidents individuels liés à la pénétration dans le périmètre protégé ou à l'infection par des logiciels malveillants. Il peut y avoir un décalage entre ce premier appel et une attaque à grande échelle pour éviter de graves conséquences.
L'étude détaille les activités de deux grands groupes de ransomwares, REvil et Babuk. Entre autres, il y a une pression plus agressive sur les victimes potentielles, les incitant à payer la rançon plus rapidement. À cette fin, des sites Web contenant des exemples de données volées sont créés sur le darknet et des informations sur les fuites sont «divulguées» dans les médias. À l'inverse, le soutien aux victimes est amélioré pour faciliter «l'expérience client» - par exemple, un chat séparé est créé pour communiquer avec les ransomwares. Dans une précédente publication des experts de Kaspersky Lab sur le thème des ransomwares «personnalisés», une diminution du nombre d'attaques à grande échelle a été notée. Le nouveau rapport montre où l'attention des cybercriminels s'est déplacée et détaille la transformation des opérations criminelles en une entreprise complexe et ramifiée.
Que s'est-il passé d'autre
L'attaque contre l'exploitant du pipeline Colonial aux États-Unis a entraîné une brève interruption de l'approvisionnement en produits pétroliers sur la côte est du pays, a déclenché la panique dans les stations-service et est susceptible d'entraîner de nouvelles modifications des mesures de lutte contre la cybercriminalité. Il y a eu de nombreuses publications sur cette attaque la semaine dernière, mais toutes les informations n'ont pas été confirmées. Voici les articles les plus intéressants:
- Une analyse de la faction DarkSide revendiquant la responsabilité de l'attaque de Brian Krebs. Plus tôt sur Twitter, il a soit en plaisantant, soit sérieusement souligné un fait évident concernant les programmes de cryptage malveillants aux racines russophones: ils évitent un système avec une disposition cyrillique.
La localisation a également été notée dans le rapport de Kaspersky Lab, mais dans un contexte différent: les organisateurs d'attaques russophones tentent de ne pas travailler avec des partenaires anglophones, craignant des contre-attaques ou des fuites d'informations. Pour un test de compétence linguistique, un exemple suggère d'utiliser le folklore local.
- Une analyse des caractéristiques techniques du malware utilisé par DarkSide lors d'attaques précédentes.
- Information officiellement non confirmée selon laquelle Colonial Pipeline a payé 5 millions de dollars aux extorqueurs. Il affirme que les organisateurs de l'attaque ont perdu l'accès à leur infrastructure, ainsi qu'aux portefeuilles cryptographiques.
- Analyse du mouvement des fonds dans les portefeuilles Bitcoin, appartenant vraisemblablement à DarkSide.
En plus de cet incident, "IB-life" se déroule comme d'habitude. Le grand événement a été l'étude sur les vulnérabilités des appareils et le protocole Wi-Fi lui-même. La collecte d'attaques Fragattacks ( site du projet, discussion sur Habré) exploite des vulnérabilités qui ne dépendent pas du type de cryptage (jusqu'à WPA3), et peuvent être utilisées pour voler des données ou rediriger l'utilisateur vers des ressources malveillantes.
Le chercheur suédois Pontus Johnson a découvert une vulnérabilité dans le concept de machine de Turing universelle , proposé en 1967 ( article The Register, document de recherche ). Dans cet exercice purement théorique, un moyen a été trouvé pour exécuter du code arbitraire. Raison: Manque de validation d'entrée.
Une méthode pour transférer des données arbitraires et recevoir des informations à partir d'appareils basés sur iOS et MacOS est proposée . La vulnérabilité du protocole Bluetooth et les fonctionnalités de la technologie Find My sont utilisées pour retrouver les appareils perdus.
MSI met en garde contre les faux sites qui distribuent des logiciels malveillants sous le couvert du populaire utilitaire d'overclocking Afterburner.