Le groupe Lazarus s’est toujours différencié par l’utilisation de méthodes propres aux attaques APT et une spécialisation dans la cybercriminalité financière. Nos experts ont récemment détecté un tout nouveau malware, VHD, jusqu’alors inexploré et dont Lazarus semble se servir pour faire des essais.
Sur le plan fonctionnel, VHD est un outil de ransomware assez standard. Il utilise les périphériques connectés à l’ordinateur de la victime pour se faufiler, chiffre les fichiers et supprime le dossier System Volume Information ce qui sabote les tentatives de Restauration du système sous Windows. Il peut également suspendre les processus qui pourraient protéger les fichiers d’une quelconque modification (comme Microsoft Exchange ou SQL Server).
L’aspect le plus intéressant est comment VHD aborde les ordinateurs pris pour cible puisque ses mécanismes de livraison ressemblent plus aux attaques APT. Nos experts ont récemment étudié quelques cas de VHD et ont analysé les actions des cybercriminels dans chacun d’entre eux.
Mouvement latéral via le réseau de la victime
Lors du premier incident, le code malveillant responsable de la propagation de VHD sur le réseau cible a attiré l’attention de nos experts. Il s’avère que le ransomware dispose de listes qui contiennent les adresses IP des ordinateurs des victimes, ainsi que les identifiants des comptes ayant des droits d’administrateur. Ces données ont été exploitées pour perpétrer des attaques par force brute sur le service SMB. Si le malware réussit à se connecter au dossier réseau d’un autre ordinateur grâce au protocole SMB, il se copie, s’exécute et chiffre la machine.
Ce comportement n’est pas propre aux ransomwares de masse. Cela implique au minimum une reconnaissance préliminaire de l’infrastructure de la victime, ce qui est plus caractéristique des campagnes APT.
Chaîne d’infection
Lorsque notre Global Emergency Response Team a à nouveau rencontré ce ransomware au cours d’une étude, les chercheurs ont pu remonter toute la chaîne d’infection. Comme ils l’ont signalé, les cybercriminels :
- Ont eu accès aux systèmes des victimes en exploitant une passerelle VPN vulnérable ;
- Ont obtenu des droits d’administrateur sur les dispositifs compromis ;
- Ont installé une porte dérobée ;
- Ont pris le contrôle du serveur Active Directory ;
- Ont infecté tous les ordinateurs sur le réseau avec le ransomware VHD en utilisant un chargeur spécialement écrit pour cette tâche.
Une analyse plus approfondie des outils utilisés a révélé que la porte dérobée faisait partie du cadre de multi-plateformes MATA (que certains collègues appellent Dacls). Nous en avons conclu qu’il s’agit d’un autre outil de Lazarus.
Vous trouverez une analyse technique détaillée de ces outils et d’autres les indicateurs de compromissions dans l’article que nous avons publié à ce sujet sur notre blog Securelist.
Comment protéger votre entreprise
Les acteurs du ransomware VHD sont clairement supérieurs à la moyenne lorsqu’il s’agit d’infecter des ordinateurs professionnels avec un outil de chiffrement. Le malware n’est généralement pas disponible sur les forums de pirates informatiques. Il est plutôt spécifiquement développé pour des attaques ciblées. Les techniques utilisées pour pénétrer dans l’infrastructure de la victime et se propager au sein du réseau exigent l’utilisation d’attaques APT sophistiquées.
La disparition progressive des limites entre les outils de cybercriminalité financière et les attaques APT démontre que même les entreprises les plus petites doivent envisager d’utiliser des technologies de sécurité plus avancées. C’est dans ce contexte que nous avons récemment dévoilé une solution intégrée et équipée de deux fonctions clés : plateforme de protection des postes de travail (EPP) et Endpoint Detection and Response (EDR). Vous pouvez consulter la page consacrée à cette solution pour obtenir plus de renseignements.