Varonis dénonce une cyberattaque mondiale, des serveurs C&C compromettent des milliers de victimes

1
112

L’équipe de recherche sur la sécurité de Varonis a découvert une cyberattaque mondiale de malwares exploitant une nouvelle souche du malware bancaire Qbot. La campagne cible activement les entreprises américaines, mais a également touché des réseaux dans le monde entier, de l’Europe à l’Amérique du Sud.

Communiqué de presse – Son but est de voler des informations financières confidentielles, y compris des comptes bancaires.

Au cours de l’analyse, Varonis a inversé cette souche du malware Qbot et identifié le serveur de Command and Control actif de l’attaquant, permettant de déterminer l’ampleur de l’attaque. Grâce à l’observation du serveur Command and Control, des milliers de victimes dans le monde entier sont compromises et sous le contrôle actif des attaquants. Des informations complémentaires trouvées sur le serveur C&C ont révélé des traces des responsables de l’attaque se cachant derrière cette campagne.

L’attaque a d’abord été détectée par Varonis DatAlert. L’outil a alerté un des clients nord-américains de Varonis de mouvements latéraux internes et d’activités suspectes sur le réseau. Varonis a déterminé qu’au moins un ordinateur avait été infecté par le malware qui tentait de se propager à d’autres systèmes du réseau.

Varonis a ensuite partagé d’autres renseignements non publics avec les autorités compétentes pour une divulgation responsable des informations.

Une nouvelle variante du malware bancaire Qbot

Les responsables de l’attaque ont utilisé une nouvelle variante de Qbot, un logiciel malveillant bien connu et sophistiqué conçu pour voler des identifiants bancaires. Qbot utilise des techniques anti-analytiques, échappe fréquemment aux outils de détection et utilise de nouveaux vecteurs d’infection pour conserver une longueur d’avance sur les entreprises.

Le logiciel malveillant est polymorphe, ou en constante évolution :

  • Il crée des fichiers et des dossiers avec des noms aléatoires
  • Son activité au « compte-gouttes » change fréquemment de serveur C&C
  • Le chargeur du logiciel malveillant change lorsqu’il y a une connexion Internet active

Le Qbot (ou Qakbot) a été identifié pour la première fois en 2009 et a beaucoup évolué depuis. Il est principalement conçu pour collecter des données relatives à l’activité de navigation et aux sites Web financiers.

Ses capacités en forme de ver lui permettent de se propager à travers le réseau d’une organisation et d’infecter d’autres systèmes.

L’analyse détaillée de l’attaque est présentée dans le billet lisible ici.

Varonis a identifié 2 726 adresses IP uniques de victimes, dont 42 en France, 1730 aux US, 140 au Royaume-Uni, 107 en Allemagne, 60 en Russie, 35 en Chine, etc. Étant donné que beaucoup d’organisations utilisent la traduction d’adresses de port qui masque les adresses IP internes, le nombre de victimes est probablement beaucoup plus élevé.

Les commentaires sont fermés.