Le ransomware N3TW0RM impliqué dans une vague d’attaques en Israel

Un nouveau gang de ransomware connu sous le nom de « N3TW0RM » vise les entreprises israéliennes dans une vague de cyberattaques depuis quelques semaines.

Le média israélien, Haaretz, a rapporté qu’au moins quatre entreprises israéliennes et une organisation à but non lucratif avaient été piratées avec succès dans cette vague d’attaques.

Comme d’autres gangs de ransomware, N3TW0RM a créé un site de fuite de données où ils menacent de partager les fichiers volés comme un moyen de faire pression sur leurs victimes et les pousser à payer une rançon.

Deux des entreprises israéliennes, les réseaux H&M Israel et Veritas Logistic, ont déjà été listés dans les brèches de données du gang de ransomware. Les pirates informatique partagent déjà les données volées lors de l’attaque sur Veritas.

D’après les notes de rançon vues par les médias israéliens, le gang de ransomware n’a pas demandé de rançon particulièrement importantes par rapport à d’autres attaques qui ont ciblé des entreprises.

Haaretz rapporte que la demande de rançon de Veritas était de trois bitcoins, soit environ 173 000$(142 279€), tandis qu’une autre note partagée montre une demande de rançon de 4 bitcoins, soit environ 231 000$(189 979€).

N3TW0RM

Un message WhatsApp partagé entre les chercheurs en cybersécurité israéliens déclare également que le ransomware N3TW0RM partage certaines caractéristiques avec les attaques Pay2Key menées en Novembre 2020 et Février 2021.

N3TW0RM

Pay2Key a été lié à un groupe de pirates Iraniens connu sous le nom de Fox Kitten, dont le but était de causer des perturbations et des dommages aux intérêts israéliens plutôt que de générer un paiement de rançon.

Les attaques N3TW0RM n’ont pas été attribuées à des groupes de piratage pour le moment.

En raison de la faible demande de rançon et le manque de réponse aux négociations, certains chercheurs israéliens pensent que N3TW0RM est également utilisé pour semer le chaos dans les intérêts israéliens.

Toutefois, Arik Nachmias, PDG de la société d’intervention en cas d’incident Honey Badger Security, a déclaré qu’il croyait que dans le cas de N3TW0RM, les attaques sont motivées par de l’argent.

Un modèle client-serveur inhabituel pour le chiffrement de N3TW0RM

Lors du chiffrement d’un réseau, les pirates informatique distribuent généralement un ransomware autonome exécutable sur tous les appareils qu’ils souhaitent chiffrer.

N3TW0RM le fait un peu différemment en utilisant un modèle client-serveur à la place.

À partir d’échantillons [VirusTotal] du ransomware et de discussions avec Nachmias, les pirates informatique de N3TW0RM installent un programme sur le serveur d’une victime qui écoutera les connexions depuis les postes de travail.

Nachmias déclare que les pirates informatique utilisent alors PAExec pour déployer et exécuter le client « slave.exe » exécutable sur chaque appareil que le ransomware va chiffrer. Lors du chiffrement des fichiers, les fichiers auront l’extension ‘.n3tw0rm’ annexée à leurs noms.

En utilisant NetCat pour écouter et attendre les connexions sur le port 80. Nous avons ensuite lancé le client slave.exe, de sorte qu’il se connecte à notre adresse IP sur ce port.

Comme vous pouvez le voir ci-dessous, lorsque le client se connecte au port 80 sur un appareil exécutant NetCat, il enverra une clé RSA au serveur.

N3TW0RM rsa

Nachmias a déclaré que le composant de serveur enregistrerait ces clés dans un fichier, puis dirigerait les clients pour commencer à chiffrer les périphériques.

Cette approche permet au pirate informatique de garder tous les aspects de l’opération ransomware dans le réseau de la victime sans être retracé à un serveur distant de commande et de contrôle.

Toutefois, il ajoute également de la complexité à l’attaque et pourrait permettre à une victime de récupérer ses clés de déchiffrement si tous les fichiers ne sont pas supprimés après une attaque.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire