Le rançongiciel Dharma se propage via les ports RDP

La récente campagne du rançongiciel Dharma menée par des scripts-kiddies liés à l’Iran montre que le rançongiciel n’est plus seulement diffusé par des hackers sophistiqués et parrainés par des États.

Le groupe de «script kiddies» cible des entreprises du monde entier dotées de ports RDP (Remote Desktop Protocol) et de données d’identification faibles pour les infecter avec le ransomware Dharma.

Le logiciel malveillant Dharma (également connu sous le nom de Crysis) est distribué en tant que ransomware-as-a-service (RaaS) depuis au moins 2016. Alors que le rançongiciel était auparavant utilisé par des pirates informatiques de niveau avancé, son code source est apparu dans Mars 2020, ce qui le rend accessible à un plus grand nombre de hackers de tout niveaux. Selon les chercheurs, ce nouveau groupe n’est pas sophistiqué et cible des entreprises en Russie, au Japon, en Chine et en Inde avec le rançongiciel depuis le mois de Juin.

«Le fait que le code source de Dharma ait été rendu largement disponible a mené à l’augmentation du nombre d’opérateurs qui le déploient», a déclaré Oleg Skulkin, spécialiste du crime numérique chez Group-IB, dans une analyse des attaques. «Il est surprenant que Dharma ait atterri entre les mains de script-kiddies iraniens qui l’ont utilisé à des fins financières, car l’Iran est traditionnellement une terre de pirates parrainés par l’État et engagés dans l’espionnage et le sabotage. Malgré le fait que ces cybercriminels utilisent des tactiques, des techniques et des procédures assez communes, ils se sont révélés assez efficaces. »

Ces cybercriminels ne sont pas sophistiqués car ils utilisent des outils accessibles au public à la fois pour obtenir un accès initial et pour se déplacer latéralement, plutôt que d’utiliser des logiciels malveillants personnalisés ou des frameworks de post-exploitation, a déclaré Oleg Skulkin, analyste principal du DFIR du Groupe IB.

“Les pirates informatiques utilisent la langue persane pour les recherches Google sur les serveurs compromis et téléchargent des outils à partir de groupes Telegram liés à l’Iran”, a déclaré Skulkin. «En outre, les experts du Groupe IB ont vu la tentative des pirates de créer des comptes par force brute sur un service de streaming vidéo iranien.»

Les opérateurs de cette campagne Dharma scanneraient d’abord les plages d’adresses IP pour les hôtes qui contenaient des ports RDP vulnérables et des informations d’identification faibles, ont déclaré les chercheurs. Ils l’ont fait en utilisant un logiciel de numérisation appelé Masscan (qui a déjà été utilisé par de mauvais acteurs comme Fxmsp).

Une fois les hôtes vulnérables identifiés, les attaquants ont déployé une application de force brute RDP bien connue appelée NLBrute, vendue sur les forums depuis plusieurs années. En utilisant cet outil, ils ont pu se frayer un chemin dans le système, puis vérifier la validité des informations d’identification obtenues sur d’autres hôtes accessibles du réseau.

Dans certaines attaques, les attaquants ont également tenté d’élever des privilèges à l’aide d’un exploit pour une faille de d’élévation de privilège. Cette faille de gravité moyenne (CVE-2017-0213), qui affecte les systèmes Windows, peut être exploitée lorsqu’un attaquant exécute une application spécialement conçue.

Après la compromission, “il est intéressant de noter que les acteurs de la menace n’avaient probablement pas de plan clair sur ce qu’il fallait faire avec les réseaux compromis”, ont déclaré les chercheurs, montrant leur manque de sophistication. Dans différentes attaques, les attaquants téléchargeraient divers outils accessibles au public pour effectuer des reconnaissances ou se déplacer latéralement sur le réseau.

Dharma

Pour rechercher des hôtes accessibles dans le réseau compromis, par exemple, ils ont utilisé l’outil accessible au public Advanced Port Scanner. D’autres outils ont été téléchargés par les attaquants à partir de groupes Telegram en persan, ont indiqué les chercheurs.

«Par exemple, pour désactiver le logiciel antivirus intégré, les attaquants ont utilisé Defender Control et Your Uninstaller», ont déclaré les chercheurs. “Ce dernier a été téléchargé à partir du site Web iranien de partage de logiciels – la requête de recherche Google en persan” دانلود نرم افزار youre unistaller “a été découverte dans les artefacts Chrome.”

Les attaquants se déplaceraient ensuite latéralement sur le réseau et déploieraient l’exécutable de la variante Dharma, chiffreraient les données et laisseraient une note de rançon à la victime. Les chercheurs ont déclaré que les pirates exigeaient généralement une rançon comprise entre 1 et 5 BTC (d’une valeur comprise entre 10 000 et 49 000 euros au moment de la rédaction de cet article).

Les chercheurs ont déclaré que, bien que le nombre exact de victimes dans cette campagne Dharma soit inconnu, les artefacts médico-légaux découverts ont révélé que les acteurs menaçants de cette campagne sont «loin derrière le niveau de sophistication des APT iraniens de haut niveau».

rançongiciel dharma

Cette campagne de Dharma montre un certain changement

«Ce groupe de hackers nouvellement découvert suggère que l’Iran, qui est connu depuis des années comme le berceau des groupes APT parrainés par l’État, accueille désormais également des cybercriminels à motivation financière», selon les chercheurs du Groupe IB.

Les chercheurs ont déclaré qu’une partie de ce changement pourrait être attribuée à la pandémie exposant un certain nombre d’hôtes vulnérables – avec de nombreux employés travaillant à distance – créant un vecteur d’attaque extrêmement populaire pour les cybercriminels. Par conséquent, le port RDP par défaut 3389 doit être fermé s’il n’est pas utilisé, ont-ils suggéré.

“Comme les attaquants ont généralement besoin de plusieurs tentatives pour forcer les mots de passe et accéder au port RDP, il est important d’activer les politiques de verrouillage de compte en limitant le nombre de tentatives de connexion infructueuses par utilisateur”, ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x