Sorebrect : Découverte d’un redoutable ransomware sans fichier

0
140

Chaque jour, les cybercriminels redoublent d’innovation et de furtivité pour passer outre toutes les protections logicielles et humaines. Sorebrect en est un parfait exemple.

La cybercriminalité est toujours en pleine hausse et la rentabilité explose grâce aux nouveaux moyens de pressions financières que sont les ransomwares. C’est sur cette vague que surfent les auteur de cette nouvelle e-menace découverte par les chercheurs de Trend Micro et baptisée Sorebrect. Très sophistiqué, ce ransomware exploite un nouvel atout de taille pour déjouer les techniques de détection et la surveillance des utilisateurs : le vecteur d’attaque est modifié et bien plus direct avec ce malware “fileless” (sans fichier).

Schéma d’infection de Sorebrect.

Les chercheurs en sécurité de Trend Micro ont récemment découvert un nouveau système de ransomware sans fichier, baptisé “Sorebrect“, qui injecte directement un code malveillant dans un processus système légitime (par exemple le fameux svchost.exe de Windows) sur un système ciblé et se détruit lui-même après avoir libéré sa charge malveillante afin d’échapper à la détection.

Contrairement aux ransomwares traditionnels connus jusqu’à présent, Sorebrect a été conçu pour cibler les serveurs et les terminaux d’entreprise. Le code injecté déclenche alors le processus de chiffrement de l’ensemble des fichiers présents sur la machine infectée mais aussi de tous les éléments partagés sur le réseau local connecté.

SOREBRECT ajoute à l’extension des fichiers chiffrés l’extension .pr0tect.

Après analyse, il s’avère que ce malware sans fichier compromet d’abord les informations d’identification des administrateurs par “brute force” ou par d’autres moyens, puis utilise l’utilitaire de ligne de commande Sysinternals PsExec de Microsoft pour chiffrer les fichiers.

“PsExec peut permettre aux attaquants d’exécuter des commandes à distance au lieu de fournir et d’utiliser une session de connexion interactive à part entière, ou de transférer manuellement le logiciel malveillant dans une machine distante, comme dans les PDR”, explique Trend Micro.

De plus, Sorebrect ne s’arrête pas à la machine infectée mais scanne également le réseau local à la recherche d’autres ordinateurs connectés avec des fichiers accessibles pour les chiffrer également :

Si le partage a été configuré de telle sorte que toute personne connectée à lui ait un accès en lecture et écriture, ces documents seront également chiffrés“, affirment les chercheurs.

Le ransomware supprime ensuite tous les journaux d’événements (à l’aide de wevtutil.exe) et des copies parallèles (via vssadmin) sur la machine infectée qui pourrait fournir des preuves de son activité malveillante (fichiers exécutés sur le système et leurs horodatages par exemple). Du coup, cette menace est très difficile à détecter. En outre, Sorebrect utilise le protocole de réseau Tor pour tenter d’anonymiser sa communication avec son serveur de commande et de contrôle (C&C), tout comme presque tous les autres logiciels malveillants de ce type existants à l’heure actuelle.

Un message de rançon basique affiché par Sorebrect via le bloc note Windows.

Le ransomware sans fichier Sorebrect a été conçu pour cibler des systèmes de diverses industries, y compris la fabrication, la technologie et les télécommunications. Selon Trend Micro, Sorebrect visait initialement des pays du Moyen-Orient comme le Koweït et le Liban, mais depuis le mois dernier, cette menace a commencé à infecter des personnes au Canada, en Chine, en Croatie, en Italie, au Japon, au Mexique, en Russie, à Taiwan et aux États-Unis.

“Étant donné l’impact et la rentabilité potentiels du ransomware, il ne serait pas surprenant si SOREBRECT se manifeste dans d’autres régions du monde, ou même dans le sous-secteur de la cybercriminalité, où il peut être vendu comme un service“, notent les chercheurs.

Ce n’est pas la première fois que les chercheurs sont confrontés à des logiciels malveillants dits “Fileless“. Il y a deux mois, les chercheurs de Talos ont découvert une attaque DNSMessenger qui était totalement indépendante des capacités de messagerie DNS TXT Fileless et utilisée pour compromettre les systèmes.

En février, les chercheurs de Kaspersky ont également découvert des logiciels malveillants sans fichier qui résidaient uniquement dans la mémoire des ordinateurs compromis, ayant ciblés des banques, des entreprises de télécommunications et des organisations gouvernementales dans 40 pays.

Pour se protéger face à une telle menace, on peut notamment citer la restriction des autorisations en écriture des utilisateurs, la limitation des privilèges PsExec (administrateur uniquement), le maintient du système et de ses logiciels à jour, la sauvegarde régulière des données vers un endroit sûr ainsi que la formation des utilisateurs face aux risques liés à la cybercriminalité.

 

Source : The Hacker News