Spacecolon, vole des données sensibles en répandant des rançongiciels à travers le monde, dont en Belgique – analyse d’ESET
Publié le 22/08/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● Spacecolon est un petit ensemble d'outils utilisé pour déployer des variantes du rançongiciel Scarab auprès de victimes dans le monde entier. ESET Research pense qu'il est d'origine turque.
● Les opérateurs de Spacecolon, nommés CosmicBeetle par ESET, n'ont pas de cible claire, mais les détections les plus élevées sont dans les pays européens, la Turquie et le Mexique.
● Spacecolon peut servir de cheval de Troie avec accès à distance et la capacité d'extraire des informations sensibles et/ou de déployer le rançongiciel Scarab.
● CosmicBeetle compromet probablement les serveurs Web sensibles au ZeroLogon ou ceux avec informations d'identification RDP qu'il est capable de forcer brutalement.
● CosmicBeetle semble préparer la distribution d'un nouveau rançongiciel qu’ESET a nommé ScRansom.

BRATISLAVA, PRAGUE — Le 22 août 2023 — ESET Research publie son analyse de Spacecolon, un ensemble d'outils déployant des variantes du rançongiciel Scarab auprès de victimes dans le monde entier. Il infiltre probablement les organisations victimes via des opérateurs compromis. Différentes versions de Spacecolon contiennent de nombreuses chaînes turques. Dès lors, ESET pense qu'il a été écrit par un développeur turcophone. ESET a déjà pu tracer les origines de Spacecolon jusqu'en mai 2020, et ses campagnes sont toujours en cours. Les chercheurs ont nommé les opérateurs de Spacecolon CosmicBeetle pour représenter le lien vers "l'espace" et le "scarabée".

Les incidents de Spacecolon identifiés par la télémétrie ESET couvrent le monde entier, avec une forte prédominance pour les pays de l'Union européenne, tels que la Belgique, l'Espagne, la France, la Pologne et la Hongrie. Ailleurs, ESET a aussi détecté une prédominance élevée pour la Turquie et le Mexique. CosmicBeetle semble préparer la distribution d'un nouveau rançongiciel — ScRansom. Après la compromission, en plus de l'installation de rançongiciels, Spacecolon propose une grande variété d'outils tiers qui permettent aux attaquants de désactiver les produits de sécurité, d'extraire des informations sensibles et d'obtenir des accès supplémentaires.

"Nous n'avons observé aucun schéma chez les victimes de Spacecolon autre que d'être vulnérables aux méthodes d'accès initiales employées par CosmicBeetle. Nous n'avons pas non plus trouvé de schéma parmi les domaines d'intérêt ou la taille des cibles. Cependant, pour n'en citer que quelques-uns (par type et par situation géographique), nous avons observé Spacecolon dans un hôpital et un complexe touristique en Thaïlande, une compagnie d'assurance en Israël, une institution gouvernementale locale en Pologne, un fournisseur de divertissement au Brésil, une entreprise environnementale en Turquie et une école au Mexique », explique Jakub Souček, le chercheur d'ESET auteur de l'analyse.

CosmicBeetle compromet probablement les serveurs Web sensibles à la vulnérabilité ZeroLogon ou ceux avec des informations d'identification RDP qu'il est capable de forcer brutalement. De plus, Spacecolon fournit un accès par porte dérobée à ses opérateurs. CosmicBeetle ne fait pas réellement d’effort pour cacher ses maliciels et laisse de nombreux artefacts sur les systèmes compromis.

Après avoir compromis un serveur Web, CosmicBeetle déploie ScHackTool. Il s’agit du principal composant de Spacecolon utilisé par CosmicBeetle. Il se base fortement sur son interface graphique et la participation active de ses opérateurs. Ceci leur permet d'orchestrer l’attaque comme ils l'entendent, en téléchargeant et en exécutant des outils supplémentaires sur la machine compromise. Si la cible est jugée utile, CosmicBeetle peut déployer ScInstaller et l'utiliser pour installer ScService, qui fournit un accès à distance supplémentaire.

La charge utile finale déployée par CosmicBeetle est une variante du rançongiciel Scarab. Celle-ci déploie en interne un ClipBanker, une sorte de logiciel malveillant qui surveille le contenu du presse-papiers et modifie le contenu, qu'il juge être l’adresse d’un portefeuille de crypto-monnaie, en une adresse contrôlée par l'attaquant.

Par ailleurs, une nouvelle famille de rançongiciels est en cours de développement, avec des échantillons téléchargés depuis la Turquie sur VirusTotal. ESET Research croit avec une grande certitude qu'il est écrit par les mêmes développeurs que Spacecolon, et les chercheurs l'ont nommé ScRansom. Ce dernier tente d’encrypter tous les disques durs, amovibles et distants. ESET n'a pas observé ce rançongiciel ailleurs dans la nature, et il semble être encore au stade du développement.

Pour plus d'informations techniques sur Spacecolon et CosmicBeetle, consultez le blog “Scarabs colon-izing vulnerable servers” (Scarabs colonisant les serveurs vulnérables) sur www.welivesecurity.com Suivez aussi ESET Research sur Twitter ESET Research on Twitterpour les dernières nouvelles d'ESET Research.

A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?