Le rançongiciel PonyFinal cible les serveurs de gestion

Un rançongiciel connu sous le nom de PonyFinal a fait son apparition, il cible les serveurs de gestion de systèmes d’entreprise comme vecteur initial d’infection. Il est écrit en Java.

Selon un avertissement sur Twitter de Microsoft Security Intelligence, PonyFinal n’est pas une menace automatisée, mais plutôt des humains tirant les rênes. Il exfiltre les informations sur les environnements infectés, se propage latéralement puis attend avant de frapper. Les opérateurs chiffrent les fichiers à une date et une heure ultérieures, lorsque la probabilité de paiement est considérée comme la plus probable.

Le chiffrement est effectué en ajoutant des fichiers avec une extension de nom de fichier «.enc»; la note de rançon quant à elle est un simple fichier texte, ont déclaré les chercheurs.

Bien qu’il soit remarquable que le malware soit écrit en Java (un langage utilisé rarement pour ce genre de logiciel malveillant, selon Microsoft), les chercheurs ont noté que la chose la plus intéressante à propos du rançongiciel est la façon dont il est livré.

“On a vu des pirates de PonyFinal utilisé des attaques par force brute contre le serveur de gestion de systèmes d’une entreprise cible”, ont-ils tweeté. «Ils déploient un VBScript pour exécuter un shell inversé PowerShell pour effectuer des vidages de données. Ils déploient également un système de manipulation à distance pour contourner la journalisation des événements. »

Le logiciel malveillant a besoin de Java Runtime Environment (JRE) pour fonctionner. Ainsi, les pirates le déploient dans des environnements si c’est nécessaire, ou dans certains cas, il semble qu’ils utilisent les données que le malware collecte initialement – dérobées dans le serveur de gestion des systèmes – pour identifier et poursuivre les points de terminaison où JRE est déjà installé.

ponyfinal

En ce qui concerne la routine d’infection, “Le ransomware PonyFinal est livré via un fichier MSI qui contient deux fichiers batch et la charge utile (payload) du ransomware”, ont expliqué les chercheurs. “UVNC_Install.bat crée une tâche planifiée nommée” Java Updater “et appelle RunTask.bat, qui exécute la charge utile, PonyFinal.JAR.”

PonyFinal fait partie d’un ensemble de campagnes de rançongiciels qui ont tendance à rester inactives et à attendre le meilleur moment pour s’exécuter, a déclaré Microsoft. Le mois dernier, le géant de la technologie a averti qu’il avait découvert que plusieurs groupes de ransomwares accédaient aux réseaux et maintenaient la persistance sur les réseaux cibles depuis plusieurs mois, attendant leur heure. Cela a été découvert après que des dizaines de déploiements aient soudainement été mis en ligne au cours des deux premières semaines d’avril.

ponyfinal

«En utilisant un modèle d’attaque typique des campagnes de rançongiciels opérés par l’homme, les pirates ont compromis les réseaux cibles pendant plusieurs mois à partir du début de cette année et attendent de monétiser leurs attaques», selon Microsoft.

Comme PonyFinal et ses attaques de force brute sur les serveurs, la plupart des campagnes d’infection ont commencé par l’exploitation de périphériques ou de serveurs réseau vulnérables connectés à Internet.

“Ils ont tous utilisé les mêmes techniques que celles observées dans les campagnes de rançongiciels à commande humaine: vol d’informations d’identification et mouvements latéraux, aboutissant au déploiement d’une charge utile de rançongiciel au choix de l’attaquant.”

Comment se protéger de PonyFinal?

Contrecarrer de telles attaques nécessite une hygiène de sécurité de base – en évitant les mots de passe faibles sur les actifs connectés à Internet, par exemple – et Microsoft a également suggéré de rechercher des signes d’efforts avancés tels que le vol d’informations d’identification et les activités de déplacement latéral. Et comme toujours, la maintenance des sauvegardes en cas de déploiement de ransomwares est toujours une bonne chose.

Le phénomène se poursuit, selon la firme. “Jusqu’à présent, les attaques ont affecté des organisations humanitaires, des sociétés de facturation médicale, de fabrication, des transports, des institutions gouvernementales et des fournisseurs de logiciels éducatifs, montrant que ces groupes de ransomwares accordent peu d’attention aux services essentiels qu’ils affectent, malgré la crise mondiale”, ont déclaré les chercheurs. «Ces attaques, cependant, ne se limitent pas aux services essentiels, les organisations doivent donc être vigilantes.»

Si cet article vous a plu, jetez un œil à notre article précédent.