CyberArk : Cyberattaques contre l’Ukraine, analyse.

Date 28/2/2022 13:00:00 | Sujet : Internet


Outre les attaques militaires sur son sol, l’Ukraine fait également face actuellement à des cyberattaques massives.

Lavi Lazarovitz, Head of Security Research chez CyberArk, analyse ci-dessous ces campagnes malveillantes imputées au malware HermeticWiper:

« Le CyberArk Labs a suivi l'émergence du logiciel malveillant de type "wiper", surnommé HermeticWiper, qui cible l'infrastructure ukrainienne. Jusqu'à présent, notre équipe a identifié quelques caractéristiques spécifiques qui rendent ce malware unique, notamment le fait que les attaques ont été très ciblées et que les infections observées jusqu'à présent s'appuient sur des identités compromises pour se déplacer latéralement, ce qui conduit potentiellement à un fort ancrage initial en raison de leur nature.

Plus précisément, la distribution de ce malware ne semble pas tirer parti des vulnérabilités de la supply chain, ou tout autre technique de "super propagation", ce qui signifie que l'infection ne s'étendra pas rapidement à d'autres zones géographiques.

Dans un cas étudié, le ransomware s'est déployé en utilisant la stratégie de groupe d'Active-Directory, ce qui signifie que les cybercriminels avaient un accès à privilèges à AD. Ce scénario est plus couramment utilisé dans les incidents ciblés, opérés par des humains ; comme ce fut dans le cas dans l’attaque contre l’entreprise Kaseya.

Il est important de noter que le wiper utilise des privilèges élevés sur l'hôte compromis pour le rendre "non bootable", en remplaçant les enregistrements et les configurations de démarrage, en effaçant les configurations des périphériques et en supprimant les sauvegardes automatiques.

Il semble que le wiper soit configuré pour ne pas chiffrer les contrôleurs de domaine - c'est-à-dire pour maintenir le domaine en fonctionnement et permettre au ransomware d'utiliser des identifiants valides pour s'authentifier auprès des serveurs et chiffrer ceux-ci. Cela met encore plus en évidence que les cybercriminels utilisent des identités compromises pour accéder au réseau et/ou se déplacer latéralement. »





Cet article provient de info utiles
https://www.info-utiles.fr

L'adresse de cet article est :
https://www.info-utiles.fr/modules/news/article.php?storyid=17045