ESET Research publie une analyse de l’empire RedLine Stealer
Le 24 octobre 2024, la police néerlandaise, avec le FBI, Eurojust et plusieurs autres organismes chargés d’appliquer la loi, a procédé au démantèlement de RedLine Stealer et de son clone appelé META Stealer. Cet effort global, appelé Operation Magnus, a abouti au démantèlement de trois serveurs aux Pays-Bas, à la saisie de deux domaines, à la détention de deux personnes en Belgique et à la levée des charges contre l’un des auteurs présumés aux US.
Pour la première fois, une organisation diplomatique de l’UE a été ciblée par un groupe lié à la Chine - Nouveau rapport APT d’ESET
• Le rapport d'activité APT d'ESET résume les activités des groupes de cyber-menaces documentées par les chercheurs d'ESET d'avril à fin septembre 2024.
• Les chercheurs ont observé des indications selon lesquelles des groupes liés à l'Iran utilisent leurs cyber-capacités pour poursuivre leur espionnage diplomatique.
• ESET a analysé le piratage de l'Agence Polonaise d’Antidopage, qui aurait été compromise par un courtier d'accès initial qui a alors partagé l'accès avec FrostyNeighbor, groupe lié à la Biélorussie.
• En Asie, ESET a observé des campagnes continues axées sur les organisations gouvernementales avec ciblage accru du secteur de l'éducation et orienté sur les chercheurs et les universitaires.
• Les chercheurs ont observé des indications selon lesquelles des groupes liés à l'Iran utilisent leurs cyber-capacités pour poursuivre leur espionnage diplomatique.
• ESET a analysé le piratage de l'Agence Polonaise d’Antidopage, qui aurait été compromise par un courtier d'accès initial qui a alors partagé l'accès avec FrostyNeighbor, groupe lié à la Biélorussie.
• En Asie, ESET a observé des campagnes continues axées sur les organisations gouvernementales avec ciblage accru du secteur de l'éducation et orienté sur les chercheurs et les universitaires.
Fund Insight : ODDO BHF AM Artificial Intelligence
28 % des travailleurs dans le monde craignent l’impact de l’IA sur leur emploi
Devoteam et SecurityScorecard unissent leurs forces pour fournir des solutions de cybersécurité inégalées au Benelux
Plus d'un quart des scale-ups voient leur croissance ralentir en raison d'infrastructures informatiques insuffisantes
Les entreprises en croissance manquent cruellement de compétences en matière informatique et de cybersécurité
Embargo, nouveau rançongiciel, désactive les solutions de sécurité, selon une étude d'ESET
• Embargo, nouveau groupe de rançongiciel développe et teste des outils basés Rust.
• Embargo peut désactiver les solutions de sécurité exécutées sur la machine de la victime.
• Embargo adapte ses outils à l'environnement de chaque victime.
Le 23 octobre 2024 — Les chercheurs d’ESET ont découvert un nouvel outil permettant de déployer le rançongiciel Embargo. Il s’agit d’un groupe relativement nouveau dans le monde des rançongiciels, observé pour la première fois par ESET en juin 2024.
La nouvelle boîte à outils d’Embargo se compose d’un chargeur et d’un outil de détection et de réponse aux points de terminaison (EDR), nommés respectivement par ESET MDeployer et MS4Killer. MS4Killer et ciblant uniquement les solutions de sécurité sélectionnées. Le malware exploite le mode sans échec et un pilote vulnérable pour désactiver les produits de sécurité sur la machine de la victime. Les deux outils sont écrits en Rust, le langage de prédilection du groupe pour développer ses rançongiciels.
En se basant sur son mode opératoire, Embargo semble être un groupe plein de ressources. Il installe sa propre infrastructure pour communiquer avec les victimes. De plus, le groupe fait pression sur les victimes pour qu’elles paient en utilisant une double extorsion : les opérateurs exfiltrent les données sensibles et menacent les victimes de les publier sur un site de fuite et de les crypter. Dans une interview avec un membre présumé du groupe, un représentant d’Embargo a mentionné un système de paiement de base pour les affiliés, ce qui suggère que le groupe fournit du RaaS (ransomware as a service). «La sophistication du groupe, l’existence d’un site de fuite typique et les déclarations du groupe, nous laissent supposer qu’Embargo opère effectivement comme un fournisseur de RaaS», déclare Jan Holman, le chercheur d’ESET qui, avec son collègue Tomáš Zvara, a analysé la menace.
Les différences entre les versions déployées, les bugs et les artefacts restants suggèrent que ces outils sont en plein développement. Embargo est toujours en train de construire sa marque et de s'établir comme un opérateur de rançongiciel de premier plan.
Le développement de chargeurs personnalisés et d'outils de suppression EDR est une tactique courante utilisée par de nombreux groupes de rançongiciels. Outre le fait que MDeployer et MS4Killer ont toujours été observés déployés ensemble, il y a d'autres liens entre eux. Les liens étroits entre les outils suggèrent que les deux sont développés par le même auteur et le développement actif de la boîte à outils suggère que l'acteur de la menace maîtrise Rust.
Avec MDeployer, l'acteur de la menace Embargo abuse du mode sans échec pour désactiver les solutions de sécurité. MS4Killer est un outil d'évasion de défense typique qui met fin aux actions des produits de sécurité à l'aide de la technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Dans cette technique, l'acteur abuse des pilotes de noyau vulnérables pour obtenir l'exécution de code au niveau du noyau. Les affiliés au rançongiciel intègrent souvent les outils BYOVD dans leur chaîne de compromission afin d’altérer les solutions de sécurité protégeant l'infrastructure contre les attaques. Après la désactivation du logiciel de sécurité, les affiliés peuvent exécuter la charge utile du rançongiciel sans se soucier si leur charge utile est détectée ou non.
L’objectif premier de la boîte à outils Embargo est de sécuriser le déploiement réussi de la charge utile du rançongiciel en désactivant la solution de sécurité dans l’infrastructure de la victime. Embargo y consacre beaucoup d’efforts en reproduisant la même fonctionnalité à différentes étapes de l’attaque. «Lors d’une intrusion active, nous avons observé la capacité des attaquants à adapter leurs outils à une solution de sécurité particulière », ajoute Tomáš Zvara, chercheur chez ESET.
Pour une analyse plus détaillée et technique des outils d’Embargo, consultez le dernier blog d’ESET Research “Embargo ransomware: Rock’n’Rust” sur WeLiveSecurity.com. Suivez ESET Research sur ESET Research on Twitter (today known as X) pour être informé des dernières nouvelles.
• Embargo peut désactiver les solutions de sécurité exécutées sur la machine de la victime.
• Embargo adapte ses outils à l'environnement de chaque victime.
Le 23 octobre 2024 — Les chercheurs d’ESET ont découvert un nouvel outil permettant de déployer le rançongiciel Embargo. Il s’agit d’un groupe relativement nouveau dans le monde des rançongiciels, observé pour la première fois par ESET en juin 2024.
La nouvelle boîte à outils d’Embargo se compose d’un chargeur et d’un outil de détection et de réponse aux points de terminaison (EDR), nommés respectivement par ESET MDeployer et MS4Killer. MS4Killer et ciblant uniquement les solutions de sécurité sélectionnées. Le malware exploite le mode sans échec et un pilote vulnérable pour désactiver les produits de sécurité sur la machine de la victime. Les deux outils sont écrits en Rust, le langage de prédilection du groupe pour développer ses rançongiciels.
En se basant sur son mode opératoire, Embargo semble être un groupe plein de ressources. Il installe sa propre infrastructure pour communiquer avec les victimes. De plus, le groupe fait pression sur les victimes pour qu’elles paient en utilisant une double extorsion : les opérateurs exfiltrent les données sensibles et menacent les victimes de les publier sur un site de fuite et de les crypter. Dans une interview avec un membre présumé du groupe, un représentant d’Embargo a mentionné un système de paiement de base pour les affiliés, ce qui suggère que le groupe fournit du RaaS (ransomware as a service). «La sophistication du groupe, l’existence d’un site de fuite typique et les déclarations du groupe, nous laissent supposer qu’Embargo opère effectivement comme un fournisseur de RaaS», déclare Jan Holman, le chercheur d’ESET qui, avec son collègue Tomáš Zvara, a analysé la menace.
Les différences entre les versions déployées, les bugs et les artefacts restants suggèrent que ces outils sont en plein développement. Embargo est toujours en train de construire sa marque et de s'établir comme un opérateur de rançongiciel de premier plan.
Le développement de chargeurs personnalisés et d'outils de suppression EDR est une tactique courante utilisée par de nombreux groupes de rançongiciels. Outre le fait que MDeployer et MS4Killer ont toujours été observés déployés ensemble, il y a d'autres liens entre eux. Les liens étroits entre les outils suggèrent que les deux sont développés par le même auteur et le développement actif de la boîte à outils suggère que l'acteur de la menace maîtrise Rust.
Avec MDeployer, l'acteur de la menace Embargo abuse du mode sans échec pour désactiver les solutions de sécurité. MS4Killer est un outil d'évasion de défense typique qui met fin aux actions des produits de sécurité à l'aide de la technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Dans cette technique, l'acteur abuse des pilotes de noyau vulnérables pour obtenir l'exécution de code au niveau du noyau. Les affiliés au rançongiciel intègrent souvent les outils BYOVD dans leur chaîne de compromission afin d’altérer les solutions de sécurité protégeant l'infrastructure contre les attaques. Après la désactivation du logiciel de sécurité, les affiliés peuvent exécuter la charge utile du rançongiciel sans se soucier si leur charge utile est détectée ou non.
L’objectif premier de la boîte à outils Embargo est de sécuriser le déploiement réussi de la charge utile du rançongiciel en désactivant la solution de sécurité dans l’infrastructure de la victime. Embargo y consacre beaucoup d’efforts en reproduisant la même fonctionnalité à différentes étapes de l’attaque. «Lors d’une intrusion active, nous avons observé la capacité des attaquants à adapter leurs outils à une solution de sécurité particulière », ajoute Tomáš Zvara, chercheur chez ESET.
Pour une analyse plus détaillée et technique des outils d’Embargo, consultez le dernier blog d’ESET Research “Embargo ransomware: Rock’n’Rust” sur WeLiveSecurity.com. Suivez ESET Research sur ESET Research on Twitter (today known as X) pour être informé des dernières nouvelles.
ESET HOME : protection renforcée contre vol d'identité, ransçongiciels, phishing et bien plus
Le 22 octobre 2024 — ESET, un leader mondial en cyber-sécurité, annonce aujourd'hui la version améliorée de son offre grand public, ESET HOME Security. Celle-ci introduit de nouvelles fonctionnalités telles qu'ESET Folder Guard et Multithread Scanning, ainsi qu'une amélioration complète de ses capacités. Identity Protection*, avec surveillance Dark Web, est désormais disponible dans le monde entier.