info utiles - CyberArk : Cyberattaques contre l’Ukraine, analyse. - Internet

Internet : CyberArk : Cyberattaques contre l’Ukraine, analyse.

Posté par JulieM le 28/2/2022 13:00:00 Articles du même auteur

Outre les attaques militaires sur son sol, l’Ukraine fait également face actuellement à des cyberattaques massives.

Lavi Lazarovitz, Head of Security Research chez CyberArk, analyse ci-dessous ces campagnes malveillantes imputées au malware HermeticWiper:

« Le CyberArk Labs a suivi l'émergence du logiciel malveillant de type "wiper", surnommé HermeticWiper, qui cible l'infrastructure ukrainienne. Jusqu'à présent, notre équipe a identifié quelques caractéristiques spécifiques qui rendent ce malware unique, notamment le fait que les attaques ont été très ciblées et que les infections observées jusqu'à présent s'appuient sur des identités compromises pour se déplacer latéralement, ce qui conduit potentiellement à un fort ancrage initial en raison de leur nature.

Plus précisément, la distribution de ce malware ne semble pas tirer parti des vulnérabilités de la supply chain, ou tout autre technique de "super propagation", ce qui signifie que l'infection ne s'étendra pas rapidement à d'autres zones géographiques.

Dans un cas étudié, le ransomware s'est déployé en utilisant la stratégie de groupe d'Active-Directory, ce qui signifie que les cybercriminels avaient un accès à privilèges à AD. Ce scénario est plus couramment utilisé dans les incidents ciblés, opérés par des humains ; comme ce fut dans le cas dans l’attaque contre l’entreprise Kaseya.

Il est important de noter que le wiper utilise des privilèges élevés sur l'hôte compromis pour le rendre "non bootable", en remplaçant les enregistrements et les configurations de démarrage, en effaçant les configurations des périphériques et en supprimant les sauvegardes automatiques.

Il semble que le wiper soit configuré pour ne pas chiffrer les contrôleurs de domaine - c'est-à-dire pour maintenir le domaine en fonctionnement et permettre au ransomware d'utiliser des identifiants valides pour s'authentifier auprès des serveurs et chiffrer ceux-ci. Cela met encore plus en évidence que les cybercriminels utilisent des identités compromises pour accéder au réseau et/ou se déplacer latéralement. »

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.