Le logiciel malveillant qui installe généralement les ransomwares et que vous devez supprimer immédiatement

Il est révolu le temps où les groupes de ransomwares opéraient en lançant des campagnes de spam par courrier électronique de masse dans l’espoir d’infecter des utilisateurs aléatoires sur Internet.Aujourd’hui, les opérateurs de ransomwares sont passés d’une niche de gangs de malwares maladroits à une série de cartels complexes de cybercriminalité avec les compétences et les outils et les budgets des groupes de piratage parrainés par le gouvernement. De nos jours, les gangs de rançongiciels s’appuient sur des partenariats à plusieurs niveaux avec d’autres opérations de cybercriminalité. Appelé « courtiers d’accès initial, « ces groupes fonctionnent comme la chaîne d’approvisionnement de la clandestinité criminelle, fournissant aux gangs de ransomwares (et autres) l’accès à de vastes collections de systèmes compromis. gangs pour accéder facilement aux réseaux d’entreprise, augmenter leur accès et crypter les fichiers pour exiger d’énormes rançons.Ces courtiers d’accès initial sont un élément crucial de la scène de la cybercriminalité. Aujourd’hui, trois types de courtiers se démarquent comme sources de la plupart des attaques de ransomware:

  • Vendeurs de points de terminaison RDP compromis: Les gangs de cybercriminalité mènent actuellement des attaques par force brute contre des postes de travail ou des serveurs configurés pour un accès RDP à distance qui ont également été laissés exposés sur Internet avec des informations d’identification faibles. Ces systèmes sont ensuite vendus dans des « boutiques RDP » d’où les gangs de ransomwares sélectionnent souvent des systèmes qui, selon eux, pourraient être situés à l’intérieur du réseau d’une cible de grande valeur
  • Vendeurs d’appareils réseau piratés: Les gangs de cybercriminalité utilisent également des exploits pour des vulnérabilités connues du public pour prendre le contrôle de l’équipement réseau d’une entreprise, tels que les serveurs VPN, les pare-feu ou d’autres périphériques de périphérie. L’accès à ces appareils et aux réseaux internes qu’ils protègent / connectent est vendu sur des forums de piratage ou à des gangs de ransomwares directement
  • Vendeurs d’ordinateurs déjà infectés par des logiciels malveillants: De nombreux botnets de logiciels malveillants actuels passent souvent au peigne fin les ordinateurs qu’ils infectent pour les systèmes des réseaux d’entreprise, puis vendent l’accès à ces systèmes de grande valeur à d’autres opérations de cybercriminalité, y compris des gangs de ransomwares

Se protéger contre ces trois types de vecteurs d’accès initial est souvent le moyen le plus simple d’éviter les ransomwares.Cependant, si la protection contre les deux premiers implique généralement de pratiquer de bonnes politiques de mots de passe et de maintenir l’équipement à jour, le troisième vecteur est plus difficile à protéger.

Le logiciel malveillant qui installe généralement les ransomwares et que vous devez supprimer immédiatement

En effet, les opérateurs de botnet de malware s’appuient souvent sur l’ingénierie sociale pour inciter les utilisateurs à installer eux-mêmes des logiciels malveillants sur leurs systèmes, même si les ordinateurs exécutent des logiciels à jour.Cet article se concentre sur les souches de logiciels malveillants connues qui ont été utilisées au cours des deux derniers. ans pour installer le ransomware. Compilée avec l’aide de chercheurs en sécurité d’Advanced Intelligence, Binary Defense et Sophos, la liste ci-dessous devrait servir de moment « code rouge » pour toute organisation.Une fois que l’une de ces souches de logiciels malveillants est détectée, les administrateurs système doivent tout abandonner, mettre les systèmes hors ligne, auditer et supprimer les logiciels malveillants en priorité.Trickbot est un botnet malveillant et une cybercriminalité similaire à Emotet. Trickbot infecte ses propres victimes, mais est également connu pour acheter l’accès aux systèmes infectés par Emotet afin d’augmenter son nombre.Au cours des deux dernières années, des chercheurs en sécurité ont vu Trickbot vendre l’accès à ses systèmes à des gangs de cybercriminalité qui ont ensuite déployé Ryuk, et plus tard le ransomware Conti.Trickbot – Conti

Trickbot – RyukBazarLoader est actuellement considéré comme une porte dérobée modulaire développée par un groupe avec des liens ou issue du gang principal de Trickbot. Quoi qu’il en soit, quelle que soit leur origine, le groupe suit le modèle de Trickbt et s’est déjà associé à des gangs de ransomwares pour donner accès aux systèmes qu’ils infectent.Actuellement, BazarLoader a été considéré comme le point d’origine des infections avec le ransomware Ryuk. [1, 2, 3].BazarLoader: RyukQakBot, Pinkslipbot, Qbot ou Quakbot est parfois appelé dans la communauté infosec le « plus lent » Emotet car il fait généralement ce que fait Emotet, mais quelques mois plus tard. Avec le gang Emotet permettant à ses systèmes d’être utilisés pour déployer un ransomware, QakBot a également récemment établi un partenariat avec différents gangs de ransomwares. D’abord avec MegaCortex, puis avec ProLock, et actuellement avec le gang de ransomwares Egregor.QakBot: MegaCortex

QakBot: ProLock

QakBot: EgregorSDBBot est une souche de malware exploitée par un groupe de cybercriminalité appelé TA505. Ce n’est pas une souche de malware commune, mais a été considérée comme le point d’origine des incidents où le ransomware Clop a été déployé.SDBBot: Clop Dridex est encore un autre gang de chevaux de Troie bancaire qui s’est réorganisé en tant que « téléchargeur de logiciels malveillants », suivant les exemples définis par Emotet et Trickbot en 2017. au cours des dernières années, ils utilisent également des ordinateurs qu’ils ont infectés pour abandonner les souches de rançongiciel BitPaymer ou DoppelPaymer pour des attaques plus ciblées contre des cibles de grande valeur.Dridex: BitPaymer

Dridex: DoppelPaymerArrivé tardivement au jeu « installer le ransomware », Zloader rattrape rapidement son retard et a déjà établi des partenariats avec les opérateurs des souches de rançongiciels Egregor et Ryuk. S’il y a une opération de malware qui a la capacité et les connexions de s’étendre, c’est celle-ci.Zloader: Egregor

Zloader – RyukPhorpiex, ou Trik, est l’un des plus petits botnets malveillants, mais pas moins dangereux.Les infections avec le ransomware Avaddon observées plus tôt cette année ont été liées à Phorpiex. Bien que ni Avaddon ni Phorpiex ne soient des noms communs, ils doivent être traités avec le même niveau d’attention qu’Emotet, Trickbot et les autres.Phorpiex — Avaddon, avec CobaltStrike servant généralement d’intermédiaire le plus courant reliant les deux. Nous avons inclus CobaltStrike sur notre liste à la demande de nos sources, qui le considèrent aussi dangereux qu’une souche de malware de facto. Si vous le voyez sur votre réseau et que vous n’effectuez pas de test de pénétration, arrêtez tout ce que vous faites, mettez les systèmes hors ligne et vérifiez tout pour le point d’entrée d’une attaque.