Une véritable attaque de ransomware Maze - Si au début vous ne réussissez pas…

Vous avez probablement entendu des termes tels que « pulvériser et prier » et « feu et oublier » appliqués à la cybercriminalité, surtout si votre implication dans la cybersécurité remonte aux premiers jours du spam et de l’escroquerie.

Ces phrases reconnaissent que l’envoi d’e-mails non sollicités est extrêmement bon marché et facile pour les cybercriminels, qui ne prennent généralement pas la peine de gérer leurs propres serveurs – ils louent souvent simplement la bande passante de messagerie à d’autres escrocs.

Une véritable attaque de ransomware Maze - Si au début vous ne réussissez pas…

Et ces escrocs, à leur tour, ne se soucient pas de gérer leurs propres serveurs – ils utilisent simplement des bots, ou des logiciels malveillants zombies, implantés sur les utilisateurs d’ordinateurs sans méfiance pour leur envoyer des e-mails.

Il y a six ans, alors que les réseaux domestiques étaient généralement beaucoup plus lents qu’aujourd’hui, les chercheurs des SophosLabs ont mesuré un robot réel envoyant plus de 5 millions d’e-mails par semaine à partir d’une seule connexion ADSL grand public, distribuant 11 campagnes de malwares différentes ainsi que des liens vers près de 4000 faux domaines différents qui ont redirigé via 58 serveurs piratés différents pour vendre de faux produits pharmaceutiques. Le meilleur, ou le pire, de tous – parce que les e-mails sortants sont principalement des paquets réseau téléchargés – le bot a à peine affecté la convivialité de la connexion, ce qui rend peu probable que l’utilisateur légitime du compte ADSL le remarque uniquement du trafic.

La théorie était simple: le coût de l’échec était si bas que les escrocs pouvaient à peu près faire appel en fixant leurs taux de spam aussi élevés que nécessaire pour s’adapter à la campagne qu’ils menaient.

L’équation « pulvériser et prier » était donc simple: pour intéresser 100 personnes avec un taux de clics d’un sur un million, les escrocs devaient envoyer 100 millions de courriels.

Et avec un réseau zombie capable de traiter plus de 5 millions d’e-mails par ordinateur et par semaine, vous pourriez spammer ces 100 millions d’e-mails en une seule heure avec un botnet de 3000 puissants.

(Certains réseaux de zombies notoires ont donné à leurs botmasters le contrôle à distance de centaines de milliers ou de millions d’appareils en même temps.)

Qu’est-ce que tout cela a à voir avec les ransomwares ciblés contemporains comme Maze ?

Eh bien, cela nous rappelle que les cybercriminels peuvent s’en tirer avec d’énormes sommes d’argent, même si, selon certaines mesures, leur taux de réussite semble terrible.

En termes simples, les escrocs en ligne ne sont pas étrangers au verset optimiste qui nous dit:

C’est une leçon dont vous devriez tenir compte,

Essayez, réessayez.

Si au début tu ne réussis pas,

Essayez, réessayez.

Essayez, réessayez

Les attaques par rançon sont une partie particulièrement destructrice de la clandestinité cybercriminelle où les escrocs ne craignent pas d’échouer et où ils sont parfaitement disposés à réessayer.

En fait, cela fait presque partie de leur plan de jeu: une sorte d’approche « troisième fois chanceuse ».

Les escrocs sont généralement déjà à l’intérieur de votre réseau au moment où ils déclenchent la partie ransomware de leur attaque, et ils passent généralement la première partie de leur attaque à cartographier votre réseau et à acquérir des pouvoirs d’accès similaires (voire supérieurs) à vos propres administrateurs système.

Ils peuvent donc se permettre de prendre le temps de réaliser des expériences, et si au début ils ne réussissent pas, ils sont plus que prêts à passer leur temps à trouver une autre solution.

Et avec les demandes de rançon qui entrent en territoire à huit chiffres ces jours-ci – nous entendons par là des demandes d’extorsion de 10 000 000 $ ou plus – vous pouvez comprendre pourquoi.

Pour un aperçu fascinant de l’esprit de ces maîtres chanteurs à la recherche d’argent et de leurs techniques « essayez, essayez encore » « , nous vous recommandons le dernier rapport des SophosLabs, intitulé Les attaquants du labyrinthe adoptent la technique de la machine virtuelle Ragnar Locker.

Le rapport est le résultat d’une enquête menée par l’infatigable expert Sophos Managed Threat Response (et parfois écrivain Naked Security) Peter Mackenzie et ses collègues, qui ont été appelés pour faire face à une attaque réseau par le tristement célèbre gang de ransomwares Maze.

Après deux tentatives infructueuses pour lancer directement leurs fichiers de rançongiciel, les escrocs ont eu recours à une technique dont nous avons parlé pour la première fois lorsque les escrocs de Ragnar Locker l’ont utilisée: configurer une machine virtuelle (VM) et exécuter le malware.

Curieusement, cela représente un revirement complet de l’attitude des cybercriminels à l’égard des logiciels de VM tels que VMWare, VirtualBox et Parallels.

Le logiciel VM vous permet d’exécuter un système d’exploitation dans un autre.

Ici, nous avons Windows 10 en tant qu’invité sur un hôte Slackware Linux.Certains escrocs font tout leur possible pour éviter d’infecter complètement les machines virtuelles, principalement pour empêcher leur malware de s’exécuter dans un laboratoire de recherche ou un système de bac à sable, où les VM sont généralement utilisées pour l’évolutivité et commodité. (Les machines virtuelles sont beaucoup plus rapides et plus faciles à réinitialiser à une condition de nettoyage connue que la réimagerie d’un disque dur physique.)

Mais les escrocs de ransomware ont réalisé que l’introduction d’une VM pour exécuter leur malware de brouillage de fichiers leur donne une chance de l’exécuter dans un environnement logiciel de leur choix – le gang Ragnar Locker a décidé d’utiliser Windows XP, probablement parce qu’il est compact et ne le fait pas. t faire des vérifications de licence embêtantes.

Dans cette dernière attaque Maze, les escrocs ont livré leur propre machine virtuelle contenant Windows 7 et tous les composants du système d’exploitation nécessaires pour lancer un bureau Windows virtuel à part entière qu’ils savaient compatible avec leur malware – une énorme image disque de 700 Mo, le tout pour fonctionner juste 2,5 Mo de code malveillant.

Trois essais et un double coup dur

Comme beaucoup de gangs de ransomwares, l’équipe Maze ne se contente pas de brouiller vos fichiers ces jours-ci – elle prend le temps de voler une partie ou la totalité de vos données critiques avant d’arrêter votre réseau, ce qui leur donne une double raison d’extorquer de l’argent. tu.

Il y a un an, vous vous attendiez peut-être à ce qu’une attaque Maze laisse derrière elle une menace pré-enregistrée comme celle-ci:

https://nakedsecurity.sophos.com/wp-content/uploads/sites/2/2020/05/demand.mp3 Écoutez le message audio diffusé après une attaque Maze

Notez comment les escrocs se sont concentrés sur le décryptage de vos précieux fichiers comme raison de payer.

Aujourd’hui, la menace comporte deux volets:

Ces jours-ci, vous payez de l’argent discret pour que les escrocs se taisent sur l’aspect de violation de données de l’attaque, ainsi que pour relancer votre entreprise.

Que faire ?

Au cas où vous vous poseriez la question, les escrocs ont réclamé 15 millions de dollars cette fois, mais la victime a dit: « Non », ce à quoi nous disons: « Bien à vous ».

Ceux qui refusent de conclure des accords avec les criminels méritent notre respect, même si nous pouvons également nous sentir critiques parce que la victime a subi une violation de données en premier lieu.

Il est facile de dire que vous feriez de même et refuser de payer, en raison des principes moraux impliqués, mais c’est une autre question lorsque votre entreprise et votre personnel regardent directement dans le baril que les escrocs vous ont mis au visage.

Si vous êtes touché par un ransomware

Cela signifie que vous avez eu une brèche.

Le monde pourrait être jugé

Et je veux pointer du doigt et hurler.

Mais si, malgré les négatifs,

Vous donnez un « non » aux escrocs

Ensuite, nous vous donnons une grande et forte acclamation

Et vous dire: « Chapeau ! « 

Array