SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
48 15 JUIN
01 MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
SNAKE ON A CAR
Le géant de l’automobile Honda a été victime décembre 2019. La société affirme l’avoir analysé en
d’une cyber attaque par le rançongiciel Snake au janvier 2020 et n’avoir communiqué le résultat de ces
début du mois de juin. Le constructeur japonais a investigations qu’à ses clients. Le rapport de Dragos
été contraint de mettre de nombreux sites à l’arrêt a été rendu public après que V. Kremez a tweeté sur
en Europe, en Turquie et en Amérique du Nord. Ekans.
Snake, également appelé Ekans pour éviter toute Ekans contient des fonctionnalités qui permettent au
confusion avec le malware homonyme attribué au malware d’interférer avec les installations ICS/SCA-
groupe russophone Turla, est un rançongiciel d’un DA. Il contient ainsi une liste de nom de processus à
genre un peu particulier. Il a en effet pour particu- arrêter lors de l’exécution du malware, tous relatifs
larité de cibler les infrastructures critiques et les à des logiciels utilisés dans les infrastructures ICS/
systèmes industriels (ICS/SCADA). Ekans a été iden- SCADA. Parmi les produits ciblés par Ekans on trouve
tifié en janvier 2020 par le chercheur Vitali Kremez Proficy Historian éditée par General Electric et des-
(Sentinel One). Il tient son nom Ekans de l’extension tiné à collecter et visualiser des données issues de
ajoutée aux fichiers chiffrés par le malware. Si l’on se systèmes utilisés dans les secteurs de la production
fie aux termes mêmes de la demande de rançon af- et du transport électriques et dans les industries pé-
fichée après le chiffrement, Ekans s’attaque de façon trolières et gazières. Ekans cible aussi des logiciels
privilégiée aux réseaux d’entreprises (“We breached de gestion de licences comme FLEXNet, Sentinel
your corporate network”). HASP et ThingWorx Industrial Connectivity Suite. Le
malware ne dispose pas de capacité à injecter du
La société Dragos, spécialisée en cybersécurité ICS/ code ou modifier des données dans ces logiciels. Il
SCADA a publié en février une analyse de ce rançon- ne peut “que” les arrêter. Dans le cas de Proficy His-
giciel. Selon Dragos, Ekans a fait son apparition en torian, par exemple, l’arrêt de son processus peut
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020
TLP WHITE
SNAKE ON A CAR
avoir de facto un impact sur la surveillance du bon été identifiée lors d’une attaque contre le groupe alle-
fonctionnement d’une installation industrielle. De mand de santé Fresenius en mai 2020.
même, la mise à l’arrêt de serveurs de licence pour-
rait entraîner celui des logiciels qui dépendent de Dans ces trois cas, cela laisse supposer qu’une compro-
ces serveurs. mission antérieure au déclenchement de la charge finale
a eu lieu, durant laquelle les attaquants auront pu me-
La “kill list” d’Ekans répertorie 64 processus dans la ner des actions de reconnaissance avant de construire
version analysée par les analystes de Dragos qui rap- et déployer une version sur-mesure du rançongiciel,
prochent cette liste et ces fonctionnalités de celles propre à chaque victime. Une autre hypothèse est que
d’un autre ransomware, MegaCortex, dont une ver- les attaquants ont préalablement cherché et trouvé ces
sion a été analysée par la société Accenture en 2019. noms dans le détails de certificats TLS émis pour les so-
Ekans pourrait être un produit dérivé de MegaCortex ciétés visées.
selon Dragos.
Le vecteur initial de compromission n’est pas encore
Ces fonctions distinguent Ekans d’autres rançongi- clairement identifié, mais un serveur d’accès distant RDP
ciels auxquels ont été attribuées des attaques contre fait figure de suspect idéal.
des entreprises de secteurs industriels, comme celle
contre la société Norsk Hydro en mars 2019, victime Si le mode opératoire est très proche de celui d’autres
du ransomware LockerGaga. Bapco, l’entreprise pé- rançongiciels, l’utilisation de fonctionnalités spécifiques
trolière étatique du Bahreïn aurait été une des pre- aux installations ICS/SCADA et la capacité d’Ekans de
mières victimes d’Ekans, sans certitude. bloquer des chaînes de production constituent des le-
viers de pression supplémentaires pour inciter les vic-
Ekans ne disposant pas de fonctionnalité de pro- times à verser les rançons demandées. La remise en
pagation autonome, il doit être lancé manuellement route de solutions logicielles industrielles qui auraient
ou via un script. été impactées par Ekans peut aussi demander des pro-
cédures moins éprouvées que celles qui consistent à
Enfin, selon Dragos, Ekans ne semble pas être le fruit restaurer des données préalablement sauvegardées ou
du travail d’équipes d’acteurs étatiques mais ce- à reconstituer des ressources IT telles que les annuaires
lui de cybercriminels qui ne cherchent que le profit Active Directory.
financier, d’où le choix de cibler des entreprises, à
l’instar des autres acteurs du marché (Ryuk, Maze, Références :
etc), ses fonctionnalités anti-ICS/SCADA en faisant
un produit de “niche”. h t t p s : // a r s t e c h n i c a . c o m / i n f o r m a t i o n -
technology/2020/06/honda-halt s-production-at-
Dans l’attaque attribuée à Ekans contre Honda, les some-plants-after-being-hit-by-a-cyberattack/
codes malveillants utilisés par les cybercriminels
se sont assurés de l’identité de leur cible en émet- https://www.zdnet.com/article/honda-confirms-its-
tant des requêtes DNS vers des noms de machines network-has-been-hit-by-cyber-attack/
et des domaines internes à leur victime, c’est-à-dire
non accessibles depuis Internet. Dans le cas de Hon- https://threatpost.com/snake-ransomware-honda-
da, le malware tentait de résoudre le sous-domaine energy/156462/
“mds.honda.com”.
h t t p s : // w w w . b l e e p i n g c o m p u t e r . c o m / n e w s /
La même semaine, une autre entreprise a été vic- security/power-company-enel-group-suffers-snake-
time d’une attaque en tous points similaires : la filiale ransomware-attack/
argentine du groupe Enel. Dans ce cas aussi, les at-
taquants ont utilisé un nom de domaine interne pour h t t p s : // b l o g . m a l w a r e b y t e s . c o m / t h r e a t -
s’assurer d’être au bon endroit. analysis/2020/06/honda-and- enel-impacted-by-
cyber-attack-suspected-to-be-ransomware/
Cette utilisation d’un nom interne avait également
248 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[RECORDED FUTURE] RAPPORT SUR LE RANSOMWARE THANOS
La société Recorded Future a pu- rançongiciel qui intègre la technique d’autres sociétés de sécurité.
blié un rapport sur un nouveau ran- RIPlace. Cette technique d’évasion,
çongiciel appelé Thanos. Thanos a présentée sous forme de preuve de Selon RecordedFuture, les clés de
été proposé à la vente sur un forum concept, permet de contourner les chiffrement et de déchiffrement
par un acteur identifié par le pseu- mesures de protection anti-rançon- peuvent, dans certains cas, être
donyme “Nosophoros.” giciels fournies par les logiciels an- extraites de la mémoire d’un ordi-
tivirus et les solutions de type EDR. nateur victime de Thanos, ce qui
Nosophoros présente Thanos pourrait permettre de ne pas avoir à
comme un générateur de rançon- Thanos présente des similarités et payer de rançon.
giciels proposant 43 options de réutilise des fonctionnalités avec
configuration. C’est aussi le premier un rançongiciel nommé Hakbit par
SOURCES ET RÉFÉRENCES :
https://www.recordedfuture.com/thanos-ransomware-builder/
[ZDNET] CLOUDEYE SUSPECTÉE DE LAXISME
La société italienne CloudEye dollars de chiffre d’affaires avec eux. CloudEye et un service de “pro-
fournit un service nuagique de Les activités floues de CloudEye ont tection” de logiciels malveillants
protection de binaires contre la ré- été mises en évidence après que nommé DarkEye, annoncé sur les
tro-ingénierie. la société CheckPoint a découvert forums de piratage dès 2014.
des indices dans le malware Gu-
Elle est suspectée d’avoir fait une Loader d’utilisation des services de Selon CheckPoint, GuLoader est le
promotion discrète mais efficace CloudEye. principal client de CloudEye.
de ses services auprès d’auteurs
de malware et d’avoir fait 500 000 CheckPoint a trouvé un lien entre
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/italian-company-exposed-as-a-front-for-malware-operations/
https://research.checkpoint.com/2020/guloader-cloudeye/
[THREATPOST] UTILISATION DU MOUVEMENT BLACKLIVESMATTER PAR TRICKBOT
Selon Abuse.ch, les opérateurs Les messages envoyés ont pour Le malware s’exécute quand, après
du malware Trickbot exploitent sujet “Vote anonymous about Black avoir ouvert ce document, les utili-
le mouvement BlackLivesMat- Lives Matter” ou “Leave a review sateurs activent les macros comme
ter et les manifestations contre confidentially about Black Lives cela leur est demandé.
le racisme pour diffuser des Matter” et sont accompagnés d’une
mails malveillants propageant le pièce jointe malveillante qui se
malware. présente comme un formulaire de
sondage.
SOURCES ET RÉFÉRENCES :
https://threatpost.com/black-lives-matter-emails-trickbot-malware/156497/
348 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[ZDNET] FERMETURE DE 32.000 COMPTES TWITTER
La société Twitter a fermé 32 242 comptes était basé en Chine. Selon Selon Twitter, la Chine utilisait son
comptes utilisés par des acteurs Twitter, 23 750 comptes formaient réseau de comptes pour diffuser
étatiques chinois, russes et turcs le coeur de ce réseau et étaient des messages à caractère géopoli-
pour mener des campagnes de dé- responsables de la majorité des dif- tique et contre les manifestations à
sinformation et de communication fusions de contenus. Les contenus Hong Kong. La Russie et la Turquie
politiques. postés depuis ces comptes étaient ciblaient leurs opposants internes
relayés par 150 000 comptes jouant respectifs.
Le plus grand de ces réseaux de le rôle d’amplificateurs.
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/twitter-bans-32k-accounts-pushing-chinese-russian-and-turkish-
propaganda/
[CYBERSCOOP] DE NOUVEAUX OUTILS POUR LE GROUPE RUSSOPHONE GAMAREDON
Le groupe russophone Gamare- société ESET. Les chercheurs ont veaux messages d’hameçonnage
don, connu pour des campagnes refusé de nommer le gouvernement aux contacts du carnet d’adresses
de cyber espionnage, utiliserait visé mais historiquement, Gamare- de l’utilisateur compromis.
de nouveaux outils dans le cadre don est l’un des nombreux groupes
d’une campagne menée depuis liés à la Russie et a ciblé le gouver- Un autre outil permet d’injecter des
plusieurs mois et visant à infiltrer nement ukrainien par le passé. macros malveillantes dans des do-
des organisations gouvernemen- cuments Office présents sur le poste
tales. Le groupe diffuserait depuis Parmi les nouveaux outils exploités infecté.
au moins 6 mois des mails d’hame- par Gamaredon se trouve une macro
çonnage ciblé, sans prendre la peine VBA qui cible Microsoft Outlook dans
de camoufler ses traces, selon la le but d’automatiser l’envoi de nou-
SOURCES ET RÉFÉRENCES :
https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/
https://www.cyberscoop.com/gamaredon-russia-ukraine-eset/
448 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020
TLP WHITE
ACTUALITÉS DES ATTAQUES PAR RANÇONGICIELS
MAZE Amérique du Nord ont été mises à Depuis le 1er juin 2020, les activités
l’arrêt après cette attaque. La filiale du groupe eCh0raix ont repris.
La société américaine de argentine du fournisseur d’énergie Ce groupe cible les serveurs de
maintenance aéronautique VT San italien Enel a également été victime stockage (NAS) Qnap pour déployer
Antonio Aerospace (VT SAA) a été du même rançongiciel. un rançongiciel en exploitant des
victime du rançongiciel Maze. vulnérabilités présentes sur des
Divers équipements non mis à jour.
La société de services informatiques
américaine Conduent a été victime Les opérateurs du rançongiciel Un nouveau rançongiciel appelé
du groupe Maze. STOP Djvu fournissent à leurs Kupidon a été détecté en mai 2020. Il
victimes un logiciel qui, au lieu cible indifféremment les utilisateurs
MAZE / RAGNAR LOCKER de déchiffrer les données volées, grand public et les entreprises. Il est
les chiffrent une nouvelle fois. déployé après la compromission de
Les opérateurs du rançongiciel L’objectif pourrait être de dissuader serveurs d’accès distants RDP.
RagnarLocker rejoignent le cartel les victimes d’utiliser des logiciels
formé par le groupe Maze. gratuits de déchiffrement fournis par La ville de Knoxville dans l’Etat
certains éditeurs d’antivirus. du Tennessee a été contrainte de
EKANS stopper son système d’information
La société Lion, fabricant de à la suite d’une attaque par
Le géant de l’automobile japonais boissons australien, a annoncé avoir rançongiciel. Knoxville est la 51e ville
Honda a été victime du rançongiciel été victime d’un rançongiciel. Cette américaine à avoir été victime d’un
Ekans. L’attaque a été très ciblée : attaque intervient au moment où rançongiciel.
avant de déclencher sa charge finale, Lion reprend ses activités à l’issue
le malware lançait une requête du confinement lié à la pandémie.
DNS vers un domaine interne à La distribution et la production sont
l’entreprise non accessible depuis affectées par cet incident. Lion met
Internet. De nombreuses filiales de en garde contre une possible pénurie
Honda en Europe, en Turquie et en de bière suite à cette attaque.
SOURCES ET RÉFÉRENCES :
https://www.bleepingcomputer.com/news/security/business-services-giant-conduent-hit-by-maze-
ransomware/
https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets-
qnap-nas-devices/
https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-
data/
https://www.bleepingcomputer.com/news/security/us-aerospace-services-provider-breached-by-maze-
ransomware/
https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-
desperate-victims-files/
https://www.zdnet.com/article/lion-warns-of-beer-shortages-following-ransomware-attack/
https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-
suspected-to-be-ransomware/
https://www.tripwire.com/state-of-security/security-data-protection/ragnar-locker-partnered-with-maze-
ransomware-cartel/
https://arstechnica.com/information-technology/2020/06/knoxville-shuts-down-parts-of-its-network-
after-being-hit-by-ransomware/
548 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
