Crédit : Dreamstime
Les groupes de danger parrainés par l’État utilisent de manière significative les attaques de type ransomware comme couverture pour dissimuler des activités plus périlleuses.
Le groupe russe Advanced Constant Risk (APT) Sandworm a utilisé des programmes de rançongiciels pour endommager les informations à plusieurs reprises au cours des six mois précédents, tandis que le groupe nord-coréen Lazarus a utilisé des installations précédemment liées à un groupe de rançongiciels pour obtenir des renseignements. rassemblant des projets.
Au même moment, certaines APT chinoises qui ciblaient traditionnellement des entités en Asie se sont concentrées sur les entreprises européennes, tandis que des groupes basés en Iran qui ciblaient généralement les entreprises israéliennes ont commencé à s’en prendre à leurs filiales étrangères.
Au moins un groupe nord-coréen qui se concentrait sur la Corée du Sud et la Russie a effectivement commencé à utiliser l’anglais dans ses opérations. Tous ces changements opérationnels suggèrent que les organisations et les entreprises des pays occidentaux sont davantage menacées par les activités de l’APT.
Des cyberattaques nuisibles en Ukraine soutiennent les efforts de guerre de la Russie
Dans Au cours des derniers mois de 2022, Sandworm a poursuivi ses attaques d’effacement d’informations contre les organisations ukrainiennes, mais a élargi ses efforts aux organisations de pays qui sont de fervents partisans de l’Ukraine, comme la Pologne, selon un tout nouveau rapport de la société de cybersécurité ESET. On pense que Sandworm fonctionne comme une unité au sein de l’agence de renseignement militaire russe, le GRU.
Sandworm a lancé des attaques dévastatrices contre des organisations ukrainiennes pendant des années. On lui attribue les attaques contre les installations énergétiques ukrainiennes qui ont provoqué des pannes d’électricité dans le pays en 2015 ainsi que l’attaque dommageable de type rançongiciel NotPetya en 2017 qui a commencé comme une attaque de la chaîne d’approvisionnement des applications logicielles contre une société ukrainienne d’applications logicielles, mais a fini par être affectée. organisations mondiales également.
Considérant que le début de la guerre, les chercheurs d’ESET ont en fait associé 2 programmes d’effacement de données appelés CaddyWiper et HermeticWiper utilisés en Ukraine à Sandworm. Le groupe aurait également tenté d’interrompre le réseau électrique ukrainien en avril à l’aide d’un nouveau programme malveillant appelé Industroyer2.
En octobre, ESET a vu de nouvelles variantes de CaddyWiper et HermeticWiper, mais aussi une marque- nouvel essuie-glace de données crédité à Sandworm appelé NikoWiper. Ce dernier essuie-glace est basé sur SDelete, un utilitaire Microsoft pour effacer des fichiers en toute sécurité et a été utilisé contre une entreprise ukrainienne du secteur de l’énergie. installations énergétiques avec des frappes de roquettes », ont déclaré les scientifiques d’ESET. « Même si nous n’avons pu démontrer aucune coordination entre ces événements, cela suggère que Sandworm et les forces armées russes ont les mêmes objectifs. »
Outre les logiciels malveillants d’effacement de données, Sandworm semble poursuivre ses méthodes de réutiliser les ransomwares. La différence entre les effaceurs de données et les programmes de ransomware est que ces derniers cryptent les fichiers au lieu de les supprimer, mais les deux ont pour effet de rendre les données inaccessibles.
Les chercheurs d’ESET associent les attaques d’octobre à un programme de ransomware appelé Status versus Entreprise de logistique ukrainienne et polonaise à Sandworm. Un mois plus tard, le groupe a utilisé un autre programme de ransomware appelé RansomBoggs contre des organisations ukrainiennes. Ce programme de ransomware a été composé en.NET et avait des recommandations pour l’animation de dessin animé de Monsters Inc.
» Dans ces attaques, un ransomware a été utilisé, mais le dernier objectif était le même que pour les essuie-glace : la destruction de données, » ont déclaré les scientifiques d’ESET. » Contrairement aux attaques de rançongiciels classiques, ici les assaillants n’ont pas l’intention de fournir le secret pour décrypter les informations cryptées. «
Il est probable que ces attaques destructrices se poursuivront et comme dans le cas du rançongiciel Prestige, elles pourraient atteindre organisations de pays qui offrent un soutien militaire et logistique à l’Ukraine. Tout récemment, le groupe ESET a trouvé un autre programme d’essuie-glace qu’il a attribué à Sandworm et surnommé SwiftSlicer. Cet essuie-glace est composé en Go et est déployé sur les réseaux via la stratégie de groupe Active Directory.
Les groupes APT utilisent des rançongiciels dans les opérations sous faux drapeau
D’autres groupes APT pourraient n’utilisent pas directement les programmes de ransomware, mais peuvent utiliser des méthodes, des stratégies et des traitements (TTP) liés à des groupes de ransomware connus pour dissimuler leurs activités. Celles-ci sont comprises dans l’industrie de la sécurité comme des opérations sous fausse bannière.
La majorité des groupes de rançongiciels exfiltrent désormais des informations pour les rançonner avant de les sécuriser dans votre région. Ce vol d’informations peut être une excellente couverture pour le cyberespionnage.
La société de sécurité WithSecure a récemment examiné un projet d’attaque qui était initialement présumé avoir été lancé par le groupe de rançongiciels BianLian.
Enquête plus approfondie a révélé qu’il s’agissait en fait d’une opération de renseignement menée par le groupe Lazarus, parrainé par l’État nord-coréen, qui ciblait des organisations de recherche publiques et privées des secteurs de l’étude de la recherche médicale et de l’énergie, ainsi que leur chaîne d’approvisionnement.
La Corée du Nord a plusieurs groupes APT qui dans certains cas partagent des outils, mais qui seraient gérés par diverses sociétés ou ministères gouvernementaux. Lazarus, APT38 et Andariel (également appelés Silent Chollima) sont des groupes attribués au 3e Bureau du Foreign Intelligence and Reconnaissance General Bureau, l’agence de renseignement étrangère de la Corée du Nord.
Un autre groupe appelé Kimsuky est attribué à le 5e Bureau – Affaires intercoréennes et gère les opérations ciblant principalement la Corée du Sud. Un autre groupe, suivi sous le nom d’APT37 qui cible également principalement la Corée du Sud, est attribué au ministère nord-coréen de la Sécurité d’État.
Une grande partie des TTP observés et des outils collectés ont auparavant été attribués par d’autres scientifiques à Kimsuky ou Lazarus groupes », ont déclaré les chercheurs de WithSecure dans leur tout nouveau rapport. « Le fait que des références aux deux groupes soient observées pourrait mettre en évidence le partage d’outils et de capacités entre les stars nord-coréennes du danger. «
Les chercheurs ont trouvé un malware similaire à celui appelé GREASE qui était auparavant attribué à Kimsuky. Dans cet incident, WithSecure a observé l’utilisation d’un malware comparable à GREASE, également attribué auparavant à Kimsuky.
Un autre logiciel malveillant récupéré était une version personnalisée de Dtrack, un accès à distance au cheval de Troie (RAT), avec une configuration extrêmement comparable à celle utilisée par Lazarus lors d’une attaque contre le réacteur nucléaire indien de Kudankulam en 2019. Les chercheurs ont également découvert l’utilisation de Putty Plink. et 3Proxy, deux outils précédemment observés dans d’autres projets Lazarus.
Le chevauchement avec le rançongiciel BianLian utilisait un serveur de commande et de contrôle hébergé à une adresse IP précédemment utilisée par les attaquants BianLian. Lazarus et les APT nord-coréens ont un historique d’utilisation de ransomwares dans leurs attaques, à la fois comme couverture et à des fins lucratives. Cela inclut le principal ver ransomware WannaCry de 2017 qui a touché des organisations du monde entier.
En juillet, la CISA a émis une alerte indiquant que la Corée du Nord état-spo Certains acteurs utilisaient le rançongiciel Maui pour cibler les secteurs de la santé et de la santé publique. En raison des sanctions financières sévères auxquelles le gouvernement fédéral nord-coréen est confronté, ses armes de piratage participent souvent à des activités qui s’apparentent davantage à des délits cybercriminels qu’à du cyberespionnage.
» Dans différentes parties du monde , Des groupes alignés sur la Corée du Nord ont utilisé d’anciens exploits pour compromettre les sociétés et les échanges de crypto-monnaie. Fait intéressant, Konni a en fait élargi le répertoire de langues qu’il utilise dans ses documents leurres pour inclure l’anglais, ce qui suggère qu’il pourrait ne pas se concentrer sur ses cibles russes et coréennes normales « , ont déclaré les scientifiques d’ESET dans leur nouveau rapport sur l’activité d’APT.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
