Le ransomware LockFile utilise l’attaque PetitPotam pour pirater des domaines Windows

0

Au moins un ransomware a commencé à tirer parti de la méthode d’attaque par relais NTLM de PetitPotam récemment découverte pour prendre le contrôle du domaine Windows sur divers réseaux dans le monde entier.

Derrière les attaques semble se trouver un nouveau gang de ransomware appelé LockFile qui a été observé pour la première fois en juillet, ce qui montre une certaine ressemblance et des références à d’autres groupes du secteur.

Exploiter PetitPotam pour l’accès au Contrôleur de Domaine

Les attaques LockFile ont été enregistrées principalement aux États-Unis et en Asie, ses victimes comprenant des organisations dans les secteurs suivants: services financiers, fabrication, ingénierie, juridique, services aux entreprises, voyages et tourisme.

Les chercheurs en sécurité de Symantec, une division de Broadcom, ont déclaré que l’accès initial de l’acteur au réseau se faisait via les serveurs Microsoft Exchange.

L’analyse de l’attaque par Symantec n’a pas révélé la méthode exacte, mais ils ont fourni une adresse IP (209.14.0[.]234) que le chercheur en sécurité Kevin Beaumont a vue dans les attaques qui exploitaient la vulnérabilité ProxyShell depuis le 13 août. Beaumont a également publié un article de blog détaillé. sur plusieurs acteurs exploitant ProxyShell.

Ensuite, l’attaquant prend le contrôle du contrôleur de domaine de l’organisation en exploitant la nouvelle méthode PetitPotam, qui force l’authentification à un relais NTLM distant sous le contrôle de LockFile.

Découvert par le chercheur en sécurité Gilles Lionel en juillet, PetitPotam présente quelques variantes que Microsoft n’a cessé d’essayer de bloquer. À ce stade, les atténuations et mises à jour officielles ne bloquent pas complètement le vecteur d’attaque PetitPotam.

Le ransomware LockFile semble s’appuyer sur un code accessible au public pour exploiter la variante originale de PetitPotam (identifiée comme CVE-2021-36942).

Une fois que les attaquants ont réussi à prendre le contrôle du contrôleur de domaine, ils ont effectivement le contrôle sur l’ensemble du domaine Windows et peuvent exécuter n’importe quelle commande qu’ils souhaitent.

Des similarités avec LockBit

Symantec déclare dans un article de blog que la demande de rançon du rançongiciel LockFile est très similaire à celle utilisée par le groupe de rançongiciels LockBit.

lockfile

De plus, il semble que le nouveau gang fasse également une référence pas si subtile au gang Conti dans l’adresse e-mail de contact qu’ils laissent à la victime : contact@contipauper[.]com.

Si nous devions spéculer sur le choix du domaine de l’e-mail, nous pourrions dire que LockFile ressemble au projet de l’affilié mécontent de Conti qui a divulgué le manuel d’attaque du gang.

Des lacunes dans la chaîne d’attaque

Symantec a analysé la chaîne d’attaque de LockFile et note que les pirates passent généralement au moins plusieurs jours sur le réseau avant d’enclencher le malware de cryptage de fichiers, typique de ce type d’attaques.

Les chercheurs affirment que lorsqu’il compromet le serveur Exchange de la victime, l’attaquant exécute une commande PowerShell qui télécharge un fichier à partir d’un emplacement distant.

Dans la dernière étape de l’attaque, 20 à 30 minutes avant de déployer le ransomware, le pirate informatique procède à la prise en charge du contrôleur de domaine en installant sur le serveur Exchange compromis l’exploit PetitPotam et deux fichiers:

  • active_desktop_render.dll
  • active_desktop_launcher.exe (lanceur légitime KuGou Active Desktop)

Le lanceur légitime KuGou Active Desktop est utilisé à mauvais escient pour effectuer une attaque de détournement de DLL afin de charger la DLL malveillante dans le but d’échapper à la détection par un logiciel de sécurité.

Les chercheurs affirment que lorsqu’elle est chargée par le lanceur, la DLL essaie de charger et de déchiffrer un fichier appelé « desktop.ini » qui contient du shellcode. Symantec n’a pas récupéré le fichier pour analyse mais indique qu’une opération réussie se termine par l’exécution du shellcode.

« Le shellcode crypté, cependant, active très probablement le fichier efspotato.exe qui exploite PetitPotam » – Symantec

La dernière étape consiste à copier la charge utile du ransomware LockFile sur le contrôleur de domaine local et à la diffuser sur le réseau à l’aide d’un script et d’exécutables qui s’exécutent sur les hôtes clients immédiatement après l’authentification sur le serveur.

Symantec pense que LockFile est un nouvel acteur de ransomware et qu’il pourrait avoir un lien avec d’autres acteurs du secteur, connus dans la communauté ou à la retraite.

LockFile est toujours actif et a été observé récemment à l’intérieur d’un réseau victime.

Laisser un commentaire