SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
48 15 JUIN 01 MARS 2019 2020 TLP WHITE SEKOIA THREAT INTELLIGENCE WEEKLY REPORT TLP WHITE SNAKE ON A CAR Le géant de l’automobile Honda a été victime décembre 2019. La société affirme l’avoir analysé en d’une cyber attaque par le rançongiciel Snake au janvier 2020 et n’avoir communiqué le résultat de ces début du mois de juin. Le constructeur japonais a investigations qu’à ses clients. Le rapport de Dragos été contraint de mettre de nombreux sites à l’arrêt a été rendu public après que V. Kremez a tweeté sur en Europe, en Turquie et en Amérique du Nord. Ekans. Snake, également appelé Ekans pour éviter toute Ekans contient des fonctionnalités qui permettent au confusion avec le malware homonyme attribué au malware d’interférer avec les installations ICS/SCA- groupe russophone Turla, est un rançongiciel d’un DA. Il contient ainsi une liste de nom de processus à genre un peu particulier. Il a en effet pour particu- arrêter lors de l’exécution du malware, tous relatifs larité de cibler les infrastructures critiques et les à des logiciels utilisés dans les infrastructures ICS/ systèmes industriels (ICS/SCADA). Ekans a été iden- SCADA. Parmi les produits ciblés par Ekans on trouve tifié en janvier 2020 par le chercheur Vitali Kremez Proficy Historian éditée par General Electric et des- (Sentinel One). Il tient son nom Ekans de l’extension tiné à collecter et visualiser des données issues de ajoutée aux fichiers chiffrés par le malware. Si l’on se systèmes utilisés dans les secteurs de la production fie aux termes mêmes de la demande de rançon af- et du transport électriques et dans les industries pé- fichée après le chiffrement, Ekans s’attaque de façon trolières et gazières. Ekans cible aussi des logiciels privilégiée aux réseaux d’entreprises (“We breached de gestion de licences comme FLEXNet, Sentinel your corporate network”). HASP et ThingWorx Industrial Connectivity Suite. Le malware ne dispose pas de capacité à injecter du La société Dragos, spécialisée en cybersécurité ICS/ code ou modifier des données dans ces logiciels. Il SCADA a publié en février une analyse de ce rançon- ne peut “que” les arrêter. Dans le cas de Proficy His- giciel. Selon Dragos, Ekans a fait son apparition en torian, par exemple, l’arrêt de son processus peut Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr que géopolitiques. Abonnez-vous pour le recevoir automatiquement par e-mail. 1
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020 TLP WHITE SNAKE ON A CAR avoir de facto un impact sur la surveillance du bon été identifiée lors d’une attaque contre le groupe alle- fonctionnement d’une installation industrielle. De mand de santé Fresenius en mai 2020. même, la mise à l’arrêt de serveurs de licence pour- rait entraîner celui des logiciels qui dépendent de Dans ces trois cas, cela laisse supposer qu’une compro- ces serveurs. mission antérieure au déclenchement de la charge finale a eu lieu, durant laquelle les attaquants auront pu me- La “kill list” d’Ekans répertorie 64 processus dans la ner des actions de reconnaissance avant de construire version analysée par les analystes de Dragos qui rap- et déployer une version sur-mesure du rançongiciel, prochent cette liste et ces fonctionnalités de celles propre à chaque victime. Une autre hypothèse est que d’un autre ransomware, MegaCortex, dont une ver- les attaquants ont préalablement cherché et trouvé ces sion a été analysée par la société Accenture en 2019. noms dans le détails de certificats TLS émis pour les so- Ekans pourrait être un produit dérivé de MegaCortex ciétés visées. selon Dragos. Le vecteur initial de compromission n’est pas encore Ces fonctions distinguent Ekans d’autres rançongi- clairement identifié, mais un serveur d’accès distant RDP ciels auxquels ont été attribuées des attaques contre fait figure de suspect idéal. des entreprises de secteurs industriels, comme celle contre la société Norsk Hydro en mars 2019, victime Si le mode opératoire est très proche de celui d’autres du ransomware LockerGaga. Bapco, l’entreprise pé- rançongiciels, l’utilisation de fonctionnalités spécifiques trolière étatique du Bahreïn aurait été une des pre- aux installations ICS/SCADA et la capacité d’Ekans de mières victimes d’Ekans, sans certitude. bloquer des chaînes de production constituent des le- viers de pression supplémentaires pour inciter les vic- Ekans ne disposant pas de fonctionnalité de pro- times à verser les rançons demandées. La remise en pagation autonome, il doit être lancé manuellement route de solutions logicielles industrielles qui auraient ou via un script. été impactées par Ekans peut aussi demander des pro- cédures moins éprouvées que celles qui consistent à Enfin, selon Dragos, Ekans ne semble pas être le fruit restaurer des données préalablement sauvegardées ou du travail d’équipes d’acteurs étatiques mais ce- à reconstituer des ressources IT telles que les annuaires lui de cybercriminels qui ne cherchent que le profit Active Directory. financier, d’où le choix de cibler des entreprises, à l’instar des autres acteurs du marché (Ryuk, Maze, Références : etc), ses fonctionnalités anti-ICS/SCADA en faisant un produit de “niche”. h t t p s : // a r s t e c h n i c a . c o m / i n f o r m a t i o n - technology/2020/06/honda-halt s-production-at- Dans l’attaque attribuée à Ekans contre Honda, les some-plants-after-being-hit-by-a-cyberattack/ codes malveillants utilisés par les cybercriminels se sont assurés de l’identité de leur cible en émet- https://www.zdnet.com/article/honda-confirms-its- tant des requêtes DNS vers des noms de machines network-has-been-hit-by-cyber-attack/ et des domaines internes à leur victime, c’est-à-dire non accessibles depuis Internet. Dans le cas de Hon- https://threatpost.com/snake-ransomware-honda- da, le malware tentait de résoudre le sous-domaine energy/156462/ “mds.honda.com”. h t t p s : // w w w . b l e e p i n g c o m p u t e r . c o m / n e w s / La même semaine, une autre entreprise a été vic- security/power-company-enel-group-suffers-snake- time d’une attaque en tous points similaires : la filiale ransomware-attack/ argentine du groupe Enel. Dans ce cas aussi, les at- taquants ont utilisé un nom de domaine interne pour h t t p s : // b l o g . m a l w a r e b y t e s . c o m / t h r e a t - s’assurer d’être au bon endroit. analysis/2020/06/honda-and- enel-impacted-by- cyber-attack-suspected-to-be-ransomware/ Cette utilisation d’un nom interne avait également 2
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [RECORDED FUTURE] RAPPORT SUR LE RANSOMWARE THANOS La société Recorded Future a pu- rançongiciel qui intègre la technique d’autres sociétés de sécurité. blié un rapport sur un nouveau ran- RIPlace. Cette technique d’évasion, çongiciel appelé Thanos. Thanos a présentée sous forme de preuve de Selon RecordedFuture, les clés de été proposé à la vente sur un forum concept, permet de contourner les chiffrement et de déchiffrement par un acteur identifié par le pseu- mesures de protection anti-rançon- peuvent, dans certains cas, être donyme “Nosophoros.” giciels fournies par les logiciels an- extraites de la mémoire d’un ordi- tivirus et les solutions de type EDR. nateur victime de Thanos, ce qui Nosophoros présente Thanos pourrait permettre de ne pas avoir à comme un générateur de rançon- Thanos présente des similarités et payer de rançon. giciels proposant 43 options de réutilise des fonctionnalités avec configuration. C’est aussi le premier un rançongiciel nommé Hakbit par SOURCES ET RÉFÉRENCES : https://www.recordedfuture.com/thanos-ransomware-builder/ [ZDNET] CLOUDEYE SUSPECTÉE DE LAXISME La société italienne CloudEye dollars de chiffre d’affaires avec eux. CloudEye et un service de “pro- fournit un service nuagique de Les activités floues de CloudEye ont tection” de logiciels malveillants protection de binaires contre la ré- été mises en évidence après que nommé DarkEye, annoncé sur les tro-ingénierie. la société CheckPoint a découvert forums de piratage dès 2014. des indices dans le malware Gu- Elle est suspectée d’avoir fait une Loader d’utilisation des services de Selon CheckPoint, GuLoader est le promotion discrète mais efficace CloudEye. principal client de CloudEye. de ses services auprès d’auteurs de malware et d’avoir fait 500 000 CheckPoint a trouvé un lien entre SOURCES ET RÉFÉRENCES : https://www.zdnet.com/article/italian-company-exposed-as-a-front-for-malware-operations/ https://research.checkpoint.com/2020/guloader-cloudeye/ [THREATPOST] UTILISATION DU MOUVEMENT BLACKLIVESMATTER PAR TRICKBOT Selon Abuse.ch, les opérateurs Les messages envoyés ont pour Le malware s’exécute quand, après du malware Trickbot exploitent sujet “Vote anonymous about Black avoir ouvert ce document, les utili- le mouvement BlackLivesMat- Lives Matter” ou “Leave a review sateurs activent les macros comme ter et les manifestations contre confidentially about Black Lives cela leur est demandé. le racisme pour diffuser des Matter” et sont accompagnés d’une mails malveillants propageant le pièce jointe malveillante qui se malware. présente comme un formulaire de sondage. SOURCES ET RÉFÉRENCES : https://threatpost.com/black-lives-matter-emails-trickbot-malware/156497/ 3
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [ZDNET] FERMETURE DE 32.000 COMPTES TWITTER La société Twitter a fermé 32 242 comptes était basé en Chine. Selon Selon Twitter, la Chine utilisait son comptes utilisés par des acteurs Twitter, 23 750 comptes formaient réseau de comptes pour diffuser étatiques chinois, russes et turcs le coeur de ce réseau et étaient des messages à caractère géopoli- pour mener des campagnes de dé- responsables de la majorité des dif- tique et contre les manifestations à sinformation et de communication fusions de contenus. Les contenus Hong Kong. La Russie et la Turquie politiques. postés depuis ces comptes étaient ciblaient leurs opposants internes relayés par 150 000 comptes jouant respectifs. Le plus grand de ces réseaux de le rôle d’amplificateurs. SOURCES ET RÉFÉRENCES : https://www.zdnet.com/article/twitter-bans-32k-accounts-pushing-chinese-russian-and-turkish- propaganda/ [CYBERSCOOP] DE NOUVEAUX OUTILS POUR LE GROUPE RUSSOPHONE GAMAREDON Le groupe russophone Gamare- société ESET. Les chercheurs ont veaux messages d’hameçonnage don, connu pour des campagnes refusé de nommer le gouvernement aux contacts du carnet d’adresses de cyber espionnage, utiliserait visé mais historiquement, Gamare- de l’utilisateur compromis. de nouveaux outils dans le cadre don est l’un des nombreux groupes d’une campagne menée depuis liés à la Russie et a ciblé le gouver- Un autre outil permet d’injecter des plusieurs mois et visant à infiltrer nement ukrainien par le passé. macros malveillantes dans des do- des organisations gouvernemen- cuments Office présents sur le poste tales. Le groupe diffuserait depuis Parmi les nouveaux outils exploités infecté. au moins 6 mois des mails d’hame- par Gamaredon se trouve une macro çonnage ciblé, sans prendre la peine VBA qui cible Microsoft Outlook dans de camoufler ses traces, selon la le but d’automatiser l’envoi de nou- SOURCES ET RÉFÉRENCES : https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/ https://www.cyberscoop.com/gamaredon-russia-ukraine-eset/ 4
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020 TLP WHITE ACTUALITÉS DES ATTAQUES PAR RANÇONGICIELS MAZE Amérique du Nord ont été mises à Depuis le 1er juin 2020, les activités l’arrêt après cette attaque. La filiale du groupe eCh0raix ont repris. La société américaine de argentine du fournisseur d’énergie Ce groupe cible les serveurs de maintenance aéronautique VT San italien Enel a également été victime stockage (NAS) Qnap pour déployer Antonio Aerospace (VT SAA) a été du même rançongiciel. un rançongiciel en exploitant des victime du rançongiciel Maze. vulnérabilités présentes sur des Divers équipements non mis à jour. La société de services informatiques américaine Conduent a été victime Les opérateurs du rançongiciel Un nouveau rançongiciel appelé du groupe Maze. STOP Djvu fournissent à leurs Kupidon a été détecté en mai 2020. Il victimes un logiciel qui, au lieu cible indifféremment les utilisateurs MAZE / RAGNAR LOCKER de déchiffrer les données volées, grand public et les entreprises. Il est les chiffrent une nouvelle fois. déployé après la compromission de Les opérateurs du rançongiciel L’objectif pourrait être de dissuader serveurs d’accès distants RDP. RagnarLocker rejoignent le cartel les victimes d’utiliser des logiciels formé par le groupe Maze. gratuits de déchiffrement fournis par La ville de Knoxville dans l’Etat certains éditeurs d’antivirus. du Tennessee a été contrainte de EKANS stopper son système d’information La société Lion, fabricant de à la suite d’une attaque par Le géant de l’automobile japonais boissons australien, a annoncé avoir rançongiciel. Knoxville est la 51e ville Honda a été victime du rançongiciel été victime d’un rançongiciel. Cette américaine à avoir été victime d’un Ekans. L’attaque a été très ciblée : attaque intervient au moment où rançongiciel. avant de déclencher sa charge finale, Lion reprend ses activités à l’issue le malware lançait une requête du confinement lié à la pandémie. DNS vers un domaine interne à La distribution et la production sont l’entreprise non accessible depuis affectées par cet incident. Lion met Internet. De nombreuses filiales de en garde contre une possible pénurie Honda en Europe, en Turquie et en de bière suite à cette attaque. SOURCES ET RÉFÉRENCES : https://www.bleepingcomputer.com/news/security/business-services-giant-conduent-hit-by-maze- ransomware/ https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets- qnap-nas-devices/ https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your- data/ https://www.bleepingcomputer.com/news/security/us-aerospace-services-provider-breached-by-maze- ransomware/ https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts- desperate-victims-files/ https://www.zdnet.com/article/lion-warns-of-beer-shortages-following-ransomware-attack/ https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack- suspected-to-be-ransomware/ https://www.tripwire.com/state-of-security/security-data-protection/ragnar-locker-partnered-with-maze- ransomware-cartel/ https://arstechnica.com/information-technology/2020/06/knoxville-shuts-down-parts-of-its-network- after-being-hit-by-ransomware/ 5
48 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 15 JUIN 2020 TLP WHITE INTELLIGENCE-DRIVEN CYBERSECURITY POUR SIGNALER UN INCIDENT Si vous êtes victime d’une attaque, si vous avez un doute ou si vous désirez revenir et investiguer sur un incident de sécurité, prenez contact avec le CERT SEKOIA. cert@sekoia.fr +33 (0) 805 692 142 SEKOIA accompagne les premières sociétés du CAC40 dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA- TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ- offre ses services à des OIV et autres acteurs du CAC40 FENSE. et du SBF120. SEKOIA.IO, une solution SaaS pour la détection et la réponse aux incidents de sécurité à un nouveau rythme. SEKOIA.IO exploite une CTI exclusive, des technologies innovantes d’orchestration et d’automatisation et repose sur une infrastructure scalable pour répondre au désé- quilibre croissant existant entre les équipes de défense LA THREAT INTELLIGENCE, et les attaquants. PIERRE ANGULAIRE DE LA LUTTE INFORMATIQUE DEFENSIVE SEKOIA dispose d’une offre complète en matière de Cyber Threat Intelligence : • conseil & accompagnement, A PROPOS DE SEKOIA • formation, Pure player et acteur français majeur de la cybersécuri- • veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes, institutions et entreprises innovantes pour les conseiller SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et assistance dans l’exercice de leurs métiers comme dans SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces. SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure, un modèle et une stratégie innovante • base & feed de renseignements cyber : dans le secteur de la cybersécurité. SEKOIA THREAT INTELLIGENCE CENTER SEKOIA — PARIS 18-20, Place de la Madeleine, 75008 Paris SEKOIA — RENNES 1137A Avenue des Champs Blancs 35510 CESSON-SÉVIGNÉ — Tél. +33 1 44 43 54 13 — sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr medium.com/cyberthreatintel | medium.com/sekoia-io-blog 6
Vous pouvez aussi lire