Min menu

Pages

Des logiciels malveillants installent généralement les ransomwares et doivent être supprimer immédiatement

Des logiciels malveillants installent généralement les ransomwares et doivent être supprimer immédiatement

Des logiciels malveillants installent généralement les ransomwares et doivent être supprimer immédiatement

Il est révolu le temps où les groupes d'achat lancaient des campagnes d'e-mail de masse pour infecter des internautes aléatoires.

Aujourd'hui, les opérateurs de ransomwares sont passés de gangs de malwares imprudents à des cartels sophistiqués de cybercriminalité dotés des compétences, des outils et des budgets des groupes de piratage parrainés par le gouvernement.

Aujourd'hui, les gangs de ransomwares s'appuient sur des partenariats à plusieurs niveaux avec d'autres sociétés de cybercriminalité. Ces groupes, appelés «agents pour la première fois», agissent comme des chaînes d'approvisionnement pour les criminels clandestins, donnant aux gangs de ransomwares (et autres) accès à un large éventail de systèmes compromis.

Composé de points de terminaison RDP piratés, de périphériques réseau de rétroaction et d'ordinateurs infectés par des logiciels malveillants, ce système permet aux gangs de rançongiciels d'accéder facilement aux réseaux d'entreprise, d'augmenter leur accès et de crypter les fichiers contre une lourde rançon.

Cet agent pour la première fois est une partie importante de la cybercriminalité. Actuellement, trois types de courtiers sont à l'origine de la plupart des attaques de ransomwares:

  • Fournisseurs de points de terminaison RDP infiltrés: les gangs de cybercriminalité mènent actuellement des attaques massives contre des postes de travail ou des serveurs configurés pour un accès RDP à distance et restent sur Internet même avec des informations d'identification faibles. Ces systèmes sont ensuite vendus dans des «magasins RDP» où les gangs de ransomwares sélectionnent souvent des systèmes qui, selon eux, peuvent se trouver sur des réseaux cibles de grande valeur.
  • Fournisseurs d'équipements de réseau piratés: les gangs de cybercriminalité utilisent des exploits pour des vulnérabilités de sécurité publiquement connues pour prendre le contrôle des périphériques réseau d'entreprise, tels que les réseaux informatiques. B. Serveurs VPN, pare-feu ou autres périphériques terminaux. L'accès à ces appareils et au réseau interne qu'ils protègent / se connectent est vendu sur des forums de hackers ou directement à des gangs de ransomwares.
  • Les fournisseurs d'ordinateurs déjà infectés par le malware: de nombreux botnets de malware lisent fréquemment les ordinateurs infectés comme des systèmes sur les réseaux d'entreprise, puis vendent l'accès à ces systèmes de haute qualité à d'autres sociétés de cybercriminalité. y compris les ransomwares de gangs.

La protection contre ces trois types de vecteurs d'accès anticipé est souvent le moyen le plus simple d'éviter les ransomwares.

Bien que la protection contre les deux premiers implique généralement de bonnes pratiques de politique de mot de passe et la mise à jour de l'appareil, le troisième vecteur est plus difficile à protéger.

En effet, les opérateurs de botnet de malware s'appuient souvent sur l'ingénierie sociale pour inciter les utilisateurs à installer des logiciels malveillants sur leurs propres systèmes, même si les ordinateurs exécutent les logiciels actuels.

Cet article se concentre sur les types connus de logiciels malveillants qui ont été utilisés pour installer des ransomwares au cours des deux dernières années.

La liste suivante a été compilée avec l'aide de chercheurs en sécurité d'Advanced Intelligence, Binary Defense et Sophos et devrait servir de «code rouge» pour toute organisation.

Dès qu'une de ces souches de logiciels malveillants est détectée, l'administrateur système doit les rejeter toutes, mettre le système hors ligne et examiner et supprimer les logiciels malveillants en priorité.

Emotet

Emotet est Considéré comme le plus grand botnet de malware aujourd'hui.

Il y a eu des cas où Emotet a traité directement avec des gangs de ransomwares, mais de nombreuses infections de ransomwares remontent à l'infection d'origine Emotet.

En règle générale, Emotet vend l'accès à ses systèmes infectés à d'autres gangs de malwares qui vendent ensuite leur propre accès à des gangs de ransomwares.

Actuellement, la chaîne la plus courante d'infections par ransomware associées à Emotet est: Emotet - Trickbot - Ryuk

Trickbot

Trickbot est un botnet pour les logiciels malveillants et la cybercriminalité, similaire à Emotet. Trickbot infecte ses propres victimes, mais est également connu pour acheter l'accès aux systèmes infectés par Emotet pour augmenter leur nombre.

Au cours des deux dernières années, des chercheurs en sécurité ont vu Trickbot vendre l'accès à ses systèmes à des gangs de cybercriminalité qui ont ensuite propagé Ryuk et plus tard le ransomware Conti

BazarLoader

BazarLoader, Aujourd'hui, il est considéré comme un hayon modulaire développé à partir d'un groupe de connexions ou séparé du gang principal de Trickbot. Indépendamment de leur apparence, le groupe a suivi le modèle de Trickbt et travaillait déjà avec des gangs de ransomwares pour accéder à leurs systèmes infectés.

BazarLoader est actuellement considéré comme le point de départ de l'infection par le ransomware Ryuk

QakBot

QakBo : Pinkslipbot, Qbot ou Quakbot sont parfois appelés Emotet "lent" dans la communauté Infosec car ils font généralement ce que fait Emotet, mais des mois plus tard.

QakBot s'est également récemment associé à diverses bandes de ransomwares avec la bande Emotet, qui peut être utilisée pour déployer son système afin de fournir des ransomwares. D'abord avec MegaCortex, puis avec ProLock et maintenant avec le gang de ransomwares Egregor.

Bot SDB

SDBBot est un malware maintenu par un groupe de cybercriminalité appelé TA505.

Ce n'est pas un type de malware courant, mais il est considéré comme un point de départ pour l'incident où réside le ransomware Clop.

Dridex

Dridex est un gang de chevaux de Troie bancaire et bancaire qui s'est réorganisé en un "programme de téléchargement de logiciels malveillants" basé sur l'exemple d'Emotet et de Trickbot en 2017.

Alors que le botnet Dridex a utilisé des campagnes de spam dans le passé pour distribuer le ransomware Locky à des internautes aléatoires, ces dernières années, ils ont également utilisé des ordinateurs infectés pour cibler les souches de ransomwares BitPaymer ou DoppelPaymer pour des attaques plus ciblées sur des cibles de suppression de grande valeur. .

Zloader

Zloader, qui est arrivé tard dans le jeu Install Ransomware, a rapidement rattrapé son retard et s'est associé aux opérateurs de souches de ransomware Egregor et Ryuk.

S'il existe un processus de malware extensible et extensible, c'est tout.

Buer Loader

Buer Loader, est une opération malveillante qui a commencé à la fin de l'année dernière mais qui s'est bâtie une réputation et des connexions souterraines contre la cybercriminalité pour travailler avec des groupes de rançon.

Selon Sophos, plusieurs incidents où le ransomware Ryuk a été trouvé étaient liés à une infection Buer quelques jours plus tôt.

Phorpiex

Phorpiex or Trick est l'un des botnets malveillants les plus petits, mais non moins dangereux.

L'infection par le ransomware Avaddon qui est apparue plus tôt cette année est liée à Phorpiex. Ni Avaddon ni Phorpiex ne sont des noms communs, ils doivent être traités avec le même soin qu'Emotet, Trickbot et autres.

CobaltStrike

CobaltStrike n'est pas un botnet malveillant. Il s'agit d'un outil de test de pénétration conçu pour les chercheurs en cybersécurité et qui est également fréquemment utilisé de manière abusive par des gangs de malwares.

L'entreprise n'est pas «infectée» par CobaltStrike. Cependant, de nombreux gangs de ransomware utilisent le composant CobaltStrike dans le cadre de leur pénétration.

Cet outil est largement utilisé comme méthode de gestion de plusieurs systèmes dans un réseau interne et comme précurseur d'attaques de ransomwares réelles.

La plupart des chaînes d'infection énumérées ci-dessus sont en fait [MalwareBotnet] - CobaltStrike - [Ransomware], CobaltStrike agissant généralement comme le médiateur le plus courant entre les deux.

Nous avons ajouté CobaltStrike à notre liste à la demande de nos sources qui le considèrent comme malveillant comme un malware de facto. Si vous le voyez sur votre réseau et qu'il n'effectue pas de test de pénétration, arrêtez tout ce que vous faites, arrêtez votre système hors ligne et vérifiez tout pour les points d'entrée.

Commentaires