SEKOIA THREAT INTELLIGENCE WEEKLY REPORT

 
CONTINUER À LIRE
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
48                                                                                             15 JUIN
                                                                                                                   01 MARS 2019 2020

                                                                                                                    TLP WHITE

            SEKOIA
            THREAT INTELLIGENCE
            WEEKLY REPORT
                                                                                                                    TLP WHITE

                                                          SNAKE ON A CAR

Le géant de l’automobile Honda a été victime                      décembre 2019. La société affirme l’avoir analysé en
d’une cyber attaque par le rançongiciel Snake au                  janvier 2020 et n’avoir communiqué le résultat de ces
début du mois de juin. Le constructeur japonais a                 investigations qu’à ses clients. Le rapport de Dragos
été contraint de mettre de nombreux sites à l’arrêt               a été rendu public après que V. Kremez a tweeté sur
en Europe, en Turquie et en Amérique du Nord.                     Ekans.

Snake, également appelé Ekans pour éviter toute                   Ekans contient des fonctionnalités qui permettent au
confusion avec le malware homonyme attribué au                    malware d’interférer avec les installations ICS/SCA-
groupe russophone Turla, est un rançongiciel d’un                 DA. Il contient ainsi une liste de nom de processus à
genre un peu particulier. Il a en effet pour particu-             arrêter lors de l’exécution du malware, tous relatifs
larité de cibler les infrastructures critiques et les             à des logiciels utilisés dans les infrastructures ICS/
systèmes industriels (ICS/SCADA). Ekans a été iden-               SCADA. Parmi les produits ciblés par Ekans on trouve
tifié en janvier 2020 par le chercheur Vitali Kremez              Proficy Historian éditée par General Electric et des-
(Sentinel One). Il tient son nom Ekans de l’extension             tiné à collecter et visualiser des données issues de
ajoutée aux fichiers chiffrés par le malware. Si l’on se          systèmes utilisés dans les secteurs de la production
fie aux termes mêmes de la demande de rançon af-                  et du transport électriques et dans les industries pé-
fichée après le chiffrement, Ekans s’attaque de façon             trolières et gazières. Ekans cible aussi des logiciels
privilégiée aux réseaux d’entreprises (“We breached               de gestion de licences comme FLEXNet, Sentinel
your corporate network”).                                         HASP et ThingWorx Industrial Connectivity Suite. Le
                                                                  malware ne dispose pas de capacité à injecter du
La société Dragos, spécialisée en cybersécurité ICS/              code ou modifier des données dans ces logiciels. Il
SCADA a publié en février une analyse de ce rançon-               ne peut “que” les arrêter. Dans le cas de Proficy His-
giciel. Selon Dragos, Ekans a fait son apparition en              torian, par exemple, l’arrêt de son processus peut

       Le THREAT INTELLIGENCE WEEKLY REPORT                    Vous retrouverez en dernière page des détails sur nos offres
       est publié publiquement et gratuitement chaque          de Cyber Threat Intelligence. Ces publications sont réservées à
       semaine pour faciliter la compréhension des cy-         nos clients, adaptées à leur secteur d’activité et à leurs besoins
       bermenaces dans ses dimensions tant techniques          spécifiques. Pour plus d’informations : threatintel@sekoia.fr
       que géopolitiques. Abonnez-vous pour le recevoir
       automatiquement par e-mail.

                                                           1
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
48                   SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                               15 JUIN 2020

                                                                                                                      TLP WHITE

                                                 SNAKE ON A CAR

avoir de facto un impact sur la surveillance du bon             été identifiée lors d’une attaque contre le groupe alle-
fonctionnement d’une installation industrielle. De              mand de santé Fresenius en mai 2020.
même, la mise à l’arrêt de serveurs de licence pour-
rait entraîner celui des logiciels qui dépendent de             Dans ces trois cas, cela laisse supposer qu’une compro-
ces serveurs.                                                   mission antérieure au déclenchement de la charge finale
                                                                a eu lieu, durant laquelle les attaquants auront pu me-
La “kill list” d’Ekans répertorie 64 processus dans la          ner des actions de reconnaissance avant de construire
version analysée par les analystes de Dragos qui rap-           et déployer une version sur-mesure du rançongiciel,
prochent cette liste et ces fonctionnalités de celles           propre à chaque victime. Une autre hypothèse est que
d’un autre ransomware, MegaCortex, dont une ver-                les attaquants ont préalablement cherché et trouvé ces
sion a été analysée par la société Accenture en 2019.           noms dans le détails de certificats TLS émis pour les so-
Ekans pourrait être un produit dérivé de MegaCortex             ciétés visées.
selon Dragos.
                                                                Le vecteur initial de compromission n’est pas encore
Ces fonctions distinguent Ekans d’autres rançongi-              clairement identifié, mais un serveur d’accès distant RDP
ciels auxquels ont été attribuées des attaques contre           fait figure de suspect idéal.
des entreprises de secteurs industriels, comme celle
contre la société Norsk Hydro en mars 2019, victime             Si le mode opératoire est très proche de celui d’autres
du ransomware LockerGaga. Bapco, l’entreprise pé-               rançongiciels, l’utilisation de fonctionnalités spécifiques
trolière étatique du Bahreïn aurait été une des pre-            aux installations ICS/SCADA et la capacité d’Ekans de
mières victimes d’Ekans, sans certitude.                        bloquer des chaînes de production constituent des le-
                                                                viers de pression supplémentaires pour inciter les vic-
Ekans ne disposant pas de fonctionnalité de pro-                times à verser les rançons demandées. La remise en
pagation autonome, il doit être lancé manuellement              route de solutions logicielles industrielles qui auraient
ou via un script.                                               été impactées par Ekans peut aussi demander des pro-
                                                                cédures moins éprouvées que celles qui consistent à
Enfin, selon Dragos, Ekans ne semble pas être le fruit          restaurer des données préalablement sauvegardées ou
du travail d’équipes d’acteurs étatiques mais ce-               à reconstituer des ressources IT telles que les annuaires
lui de cybercriminels qui ne cherchent que le profit            Active Directory.
financier, d’où le choix de cibler des entreprises, à
l’instar des autres acteurs du marché (Ryuk, Maze,              Références :
etc), ses fonctionnalités anti-ICS/SCADA en faisant
un produit de “niche”.                                          h t t p s : // a r s t e c h n i c a . c o m / i n f o r m a t i o n -
                                                                technology/2020/06/honda-halt s-production-at-
Dans l’attaque attribuée à Ekans contre Honda, les              some-plants-after-being-hit-by-a-cyberattack/
codes malveillants utilisés par les cybercriminels
se sont assurés de l’identité de leur cible en émet-            https://www.zdnet.com/article/honda-confirms-its-
tant des requêtes DNS vers des noms de machines                 network-has-been-hit-by-cyber-attack/
et des domaines internes à leur victime, c’est-à-dire
non accessibles depuis Internet. Dans le cas de Hon-            https://threatpost.com/snake-ransomware-honda-
da, le malware tentait de résoudre le sous-domaine              energy/156462/
“mds.honda.com”.
                                                                h t t p s : // w w w . b l e e p i n g c o m p u t e r . c o m / n e w s /
La même semaine, une autre entreprise a été vic-                security/power-company-enel-group-suffers-snake-
time d’une attaque en tous points similaires : la filiale       ransomware-attack/
argentine du groupe Enel. Dans ce cas aussi, les at-
taquants ont utilisé un nom de domaine interne pour             h t t p s : // b l o g . m a l w a r e b y t e s . c o m / t h r e a t -
s’assurer d’être au bon endroit.                                analysis/2020/06/honda-and- enel-impacted-by-
                                                                cyber-attack-suspected-to-be-ransomware/
Cette utilisation d’un nom interne avait également

                                                            2
48                 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                        15 JUIN 2020

                                                                                                           TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[RECORDED FUTURE] RAPPORT SUR LE RANSOMWARE THANOS

La société Recorded Future a pu-        rançongiciel qui intègre la technique     d’autres sociétés de sécurité.
blié un rapport sur un nouveau ran-     RIPlace. Cette technique d’évasion,
çongiciel appelé Thanos. Thanos a       présentée sous forme de preuve de         Selon RecordedFuture, les clés de
été proposé à la vente sur un forum     concept, permet de contourner les         chiffrement et de déchiffrement
par un acteur identifié par le pseu-    mesures de protection anti-rançon-        peuvent, dans certains cas, être
donyme “Nosophoros.”                    giciels fournies par les logiciels an-    extraites de la mémoire d’un ordi-
                                        tivirus et les solutions de type EDR.     nateur victime de Thanos, ce qui
Nosophoros       présente     Thanos                                              pourrait permettre de ne pas avoir à
comme un générateur de rançon-          Thanos présente des similarités et        payer de rançon.
giciels proposant 43 options de         réutilise des fonctionnalités avec
configuration. C’est aussi le premier   un rançongiciel nommé Hakbit par

        SOURCES ET RÉFÉRENCES :
        https://www.recordedfuture.com/thanos-ransomware-builder/

[ZDNET] CLOUDEYE SUSPECTÉE DE LAXISME

La société italienne CloudEye           dollars de chiffre d’affaires avec eux.   CloudEye et un service de “pro-
fournit un service nuagique de          Les activités floues de CloudEye ont      tection” de logiciels malveillants
protection de binaires contre la ré-    été mises en évidence après que           nommé DarkEye, annoncé sur les
tro-ingénierie.                         la société CheckPoint a découvert         forums de piratage dès 2014.
                                        des indices dans le malware Gu-
Elle est suspectée d’avoir fait une     Loader d’utilisation des services de      Selon CheckPoint, GuLoader est le
promotion discrète mais efficace        CloudEye.                                 principal client de CloudEye.
de ses services auprès d’auteurs
de malware et d’avoir fait 500 000      CheckPoint a trouvé un lien entre

         SOURCES ET RÉFÉRENCES :
         https://www.zdnet.com/article/italian-company-exposed-as-a-front-for-malware-operations/
         https://research.checkpoint.com/2020/guloader-cloudeye/

[THREATPOST] UTILISATION DU MOUVEMENT BLACKLIVESMATTER PAR TRICKBOT

Selon Abuse.ch, les opérateurs          Les messages envoyés ont pour             Le malware s’exécute quand, après
du malware Trickbot exploitent          sujet “Vote anonymous about Black         avoir ouvert ce document, les utili-
le mouvement BlackLivesMat-             Lives Matter” ou “Leave a review          sateurs activent les macros comme
ter et les manifestations contre        confidentially about Black Lives          cela leur est demandé.
le racisme pour diffuser des            Matter” et sont accompagnés d’une
mails malveillants propageant le        pièce jointe malveillante qui se
malware.                                présente comme un formulaire de
                                        sondage.

         SOURCES ET RÉFÉRENCES :
         https://threatpost.com/black-lives-matter-emails-trickbot-malware/156497/

                                                          3
48                 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                     15 JUIN 2020

                                                                                                         TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[ZDNET] FERMETURE DE 32.000 COMPTES TWITTER

La société Twitter a fermé 32 242      comptes était basé en Chine. Selon       Selon Twitter, la Chine utilisait son
comptes utilisés par des acteurs       Twitter, 23 750 comptes formaient        réseau de comptes pour diffuser
étatiques chinois, russes et turcs     le coeur de ce réseau et étaient         des messages à caractère géopoli-
pour mener des campagnes de dé-        responsables de la majorité des dif-     tique et contre les manifestations à
sinformation et de communication       fusions de contenus. Les contenus        Hong Kong. La Russie et la Turquie
politiques.                            postés depuis ces comptes étaient        ciblaient leurs opposants internes
                                       relayés par 150 000 comptes jouant       respectifs.
Le plus grand de ces réseaux de        le rôle d’amplificateurs.

         SOURCES ET RÉFÉRENCES :
         https://www.zdnet.com/article/twitter-bans-32k-accounts-pushing-chinese-russian-and-turkish-
         propaganda/

[CYBERSCOOP] DE NOUVEAUX OUTILS POUR LE GROUPE RUSSOPHONE GAMAREDON

Le groupe russophone Gamare-           société ESET. Les chercheurs ont         veaux messages d’hameçonnage
don, connu pour des campagnes          refusé de nommer le gouvernement         aux contacts du carnet d’adresses
de cyber espionnage, utiliserait       visé mais historiquement, Gamare-        de l’utilisateur compromis.
de nouveaux outils dans le cadre       don est l’un des nombreux groupes
d’une campagne menée depuis            liés à la Russie et a ciblé le gouver-   Un autre outil permet d’injecter des
plusieurs mois et visant à infiltrer   nement ukrainien par le passé.           macros malveillantes dans des do-
des organisations gouvernemen-                                                  cuments Office présents sur le poste
tales. Le groupe diffuserait depuis    Parmi les nouveaux outils exploités      infecté.
au moins 6 mois des mails d’hame-      par Gamaredon se trouve une macro
çonnage ciblé, sans prendre la peine   VBA qui cible Microsoft Outlook dans
de camoufler ses traces, selon la      le but d’automatiser l’envoi de nou-

         SOURCES ET RÉFÉRENCES :
         https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/
         https://www.cyberscoop.com/gamaredon-russia-ukraine-eset/

                                                         4
48                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                        15 JUIN 2020

                                                                                                             TLP WHITE

                       ACTUALITÉS DES ATTAQUES PAR RANÇONGICIELS

MAZE                                    Amérique du Nord ont été mises à          Depuis le 1er juin 2020, les activités
                                        l’arrêt après cette attaque. La filiale   du groupe eCh0raix ont repris.
La     société   américaine   de        argentine du fournisseur d’énergie        Ce groupe cible les serveurs de
maintenance aéronautique VT San         italien Enel a également été victime      stockage (NAS) Qnap pour déployer
Antonio Aerospace (VT SAA) a été        du même rançongiciel.                     un rançongiciel en exploitant des
victime du rançongiciel Maze.                                                     vulnérabilités présentes sur des
                                        Divers                                    équipements non mis à jour.
La société de services informatiques
américaine Conduent a été victime       Les opérateurs du rançongiciel            Un nouveau rançongiciel appelé
du groupe Maze.                         STOP Djvu fournissent à leurs             Kupidon a été détecté en mai 2020. Il
                                        victimes un logiciel qui, au lieu         cible indifféremment les utilisateurs
MAZE / RAGNAR LOCKER                    de déchiffrer les données volées,         grand public et les entreprises. Il est
                                        les chiffrent une nouvelle fois.          déployé après la compromission de
Les opérateurs du rançongiciel          L’objectif pourrait être de dissuader     serveurs d’accès distants RDP.
RagnarLocker rejoignent le cartel       les victimes d’utiliser des logiciels
formé par le groupe Maze.               gratuits de déchiffrement fournis par     La ville de Knoxville dans l’Etat
                                        certains éditeurs d’antivirus.            du Tennessee a été contrainte de
EKANS                                                                             stopper son système d’information
                                        La société Lion, fabricant de             à la suite d’une attaque par
Le géant de l’automobile japonais       boissons australien, a annoncé avoir      rançongiciel. Knoxville est la 51e ville
Honda a été victime du rançongiciel     été victime d’un rançongiciel. Cette      américaine à avoir été victime d’un
Ekans. L’attaque a été très ciblée :    attaque intervient au moment où           rançongiciel.
avant de déclencher sa charge finale,   Lion reprend ses activités à l’issue
le malware lançait une requête          du confinement lié à la pandémie.
DNS vers un domaine interne à           La distribution et la production sont
l’entreprise non accessible depuis      affectées par cet incident. Lion met
Internet. De nombreuses filiales de     en garde contre une possible pénurie
Honda en Europe, en Turquie et en       de bière suite à cette attaque.

         SOURCES ET RÉFÉRENCES :
         https://www.bleepingcomputer.com/news/security/business-services-giant-conduent-hit-by-maze-
         ransomware/
         https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets-
         qnap-nas-devices/
         https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-
         data/
         https://www.bleepingcomputer.com/news/security/us-aerospace-services-provider-breached-by-maze-
         ransomware/
         https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-
         desperate-victims-files/
         https://www.zdnet.com/article/lion-warns-of-beer-shortages-following-ransomware-attack/
         https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-
         suspected-to-be-ransomware/
         https://www.tripwire.com/state-of-security/security-data-protection/ragnar-locker-partnered-with-maze-
         ransomware-cartel/
         https://arstechnica.com/information-technology/2020/06/knoxville-shuts-down-parts-of-its-network-
         after-being-hit-by-ransomware/

                                                          5
48                    SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                        15 JUIN 2020

                                                                                                                TLP WHITE

                                INTELLIGENCE-DRIVEN CYBERSECURITY

POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.

                    cert@sekoia.fr
                  +33 (0) 805 692 142

SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes.                        VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
                                                                      TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et               DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40               FENSE.
et du SBF120.
                                                                      SEKOIA.IO, une solution SaaS pour la détection et la
                                                                      réponse aux incidents de sécurité à un nouveau rythme.
                                                                      SEKOIA.IO exploite une CTI exclusive, des technologies
                                                                      innovantes d’orchestration et d’automatisation et repose
                                                                      sur une infrastructure scalable pour répondre au désé-
                                                                      quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE,                                               et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE

SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
   • conseil & accompagnement,                                  A PROPOS DE SEKOIA
   • formation,                                                 Pure player et acteur français majeur de la cybersécuri-
   • veille et rapport sur les cybermenaces :                   té, SEKOIA accompagne au quotidien grands comptes,
                                                                institutions et entreprises innovantes pour les conseiller
        SEKOIA THREAT INTELLIGENCE BRIEFING REPORT              sur leur stratégie, les préparer et leur offrir support et
                                                                assistance dans l’exercice de leurs métiers comme dans
        SEKOIA THREAT INTELLIGENCE FLASH REPORT                 les phases les plus critiques d’exposition aux menaces.

        SEKOIA THREAT INTELLIGENCE SPECIAL REPORT               Découvrez une structure,
                                                                un modèle et une stratégie innovante
   • base & feed de renseignements cyber :                      dans le secteur de la cybersécurité.
        SEKOIA THREAT INTELLIGENCE CENTER

                                                                                                                   SEKOIA — PARIS
                                                                                                                             18-20,
                                                                                                             Place de la Madeleine,
                                                                                                                        75008 Paris

                                                                                                              SEKOIA — RENNES
                                                                                                                              1137A
                                                                                                       Avenue des Champs Blancs
                                                                                                         35510 CESSON-SÉVIGNÉ
                                                                                                                                  —
                                                                                                              Tél. +33 1 44 43 54 13
                                                                                                                                  —

         sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
         medium.com/cyberthreatintel | medium.com/sekoia-io-blog

                                                            6
Vous pouvez aussi lire