SonicWall: un groupe de pirates exploite une faille zero-day pour pénétrer les réseaux

Un pirate informatique financièrement motivé a exploité un bug zero-day dans les VPN SonicWall SMA Séeries 100 pour déployer de nouveaux ransomware connu sous le nom de FiveHands sur les réseaux de cibles nord-américaines et européennes.

Le groupe, identifié par les analystes de Mandiant comme étant UNC2447, a exploité la vulnérabilité CVE-2021-20016 de SonicWall pour violer les réseaux et déployer des charges utiles du ransomware FiveHands avant la sortie des correctifs à la fin du mois de Février 2021.

Avant de déployer les charges utiles du ransomware, UNC2447 a également été observé en utilisant Cobalt Strike pour gagner en persistance et l’installation d’une variante de la porte dérobée SombRAT, un malware repéré pour la première fois dans la campagne CostaRicto coordonnée par un groupe de pirates mercenaires.

La faille zero-day a également été exploitée dans des attaques ciblant les systèmes internes de SonicWall en Janvier et plus tard abusé dans la nature.

Beaucoup de similarité avec le ransomware HelloKitty

Le ransomware FiveHands déployé dans les attaques d’UNC2447 a été observé pour la première fois en Octobre 2020.

Il est également très similaire au ransomware HelloKitty, qui est aussi une réécriture du ransomware DeathRansom.

Le premier a été utilisé pour chiffrer les systèmes du studio de développement de jeux vidéo CD Projekt Red [1, 2], avec les attaquants affirmant plus tard avoir volé le code source de Cyberpunk 2077, Witcher 3, Gwent, et d’une version inédite de Witcher 3.

Cette opération de ransomware a également ciblé d’autres grandes entreprises dans le monde entier, y compris la compagnie d’électricité brésilienne CEMIG (Companhia Energética de Minas Gerais).

Comme l’a découvert Mandiant, l’activité de HelloKitty s’était lentement amenuisé à partir de Janvier 2021 lorsque l’utilisation de FiveHands dans les attaques a commencé à s’amenuiser.

« En se basant sue les observations techniques et temporelles des déploiements de HELLOKITTY et FIVEHANDS, Mandiant soupçonne que HELLOKITTY pourrait avoir été utilisé par un programme d’affiliation global de Mai 2020 à Décembre 2020, et FIVEHANDS depuis environ Janvier 2021, » ont déclaré les chercheurs.

Outre leur fonctionnalité de partage, fonctionnalités et similitudes de codage, les deux souches de logiciels malveillants ont également été liés par Mandiant plus tôt ce mois-ci après avoir observé un chat du ransomware FiveHands utilisant un favicon HelloKitty.

sonicwall fivehands

FiveHands dispose également de fonctionnalités supplémentaires puisque, contrairement à HelloKitty et DeathRansom, il peut également « utiliser le gestionnaire de redémarrage de Windows pour fermer un fichier actuellement en cours d’utilisation afin qu’il puisse être déverrouillé et chiffré avec succès. »

Il diffère en outre en utilisant différentes bibliothèques de chiffrement intégrées, un dropper de mémoire et des requêtes asynchrone d’entrées-sorties, non présents dans les deux autres souches de ransomware.

sonicwall ransomware

Le ransomware Ragnar Locker aussi déployé par les affiliés de UNC2447

« UNC2447 monétise les intrusions en extorqueant leurs victimes d’abord avec le ransomware Fivehands suivie par l’application agressive de pression par des menaces de l’attention des médias et offrant des données sur les victimes à vendre sur les forums de pirates », a ajouté Mandiant dans un rapport publié récemment.

« On a observé que UNC2447 ciblait des organisations en Europe et en Amérique du Nord et qu’ils avaient constamment fait preuve de capacités avancées pour échapper à la détection et minimiser les services médico-légaux post-intrusion. »

Mandiant affirme que des affiliés de UNC2447 ont également été observés en train de déployer l’activité du ransomware Ragnar Locker lors d’attaques précédentes.

En Mars, les analystes de Mandiant ont découvert trois autres vulnérabilités zero-day dans les produits de SonicWall et hébergés Email Security.

Ces failles zero-day ont également été activement exploitées par un autre groupe identifié comme UNC2682 pour créer des porte dérobée utilisant des web shells BEHINDER pour se déplacer latéralement à travers les réseaux des victimes et accéder aux e-mails et fichiers.

Vous pourriez aussi aimer
Laisser un commentaire