Page 1 sur 1

ALERTE - campagnes de cryptoware (04.02.19)

MessagePosté: 05 Fév 2019, 02:34
de pierre
Campagnes de Cryptowares (rançongiciels avec chiffrement (cryptage) des fichiers des victimes).

Risque(s)
1. Contexte
La fin d’année 2018 ainsi que le début d’année 2019 sont marqués par une recrudescence inédite des attaques de type Cryptowares. Il s’agit aussi bien de Cryptowares connus depuis plusieurs années que de nouveaux, tel qu’Anatova et LockerGoga par exemple. Au niveau mondial, des infections par ce type de code ont lieu plusieurs fois par jour. La majorité des victimes se situent principalement aux Etats-Unis et en Europe. La France a notamment été récemment ciblée par les rançongiciels Shade (ransomware et crypto-virus Shade v1, ransomware et crypto-virus Shade v2) et Anatova.

Cette profusion d’attaques est facilitée par la vente sur Internet de rancongiciels "prêts-à-l'emploi" (Encryptor RaaS - Ransomware as a Service)) (dans la geste criminelle du CaaS - Crime-as-a-Service), comme GandCrab, Ryuk, SamSam (SamSam 1, SamSam 2, SamSam 3, SamSam 4), Dharma, etc. Les capacités de distribution et de compromission associées à ces outils malveillants sont nombreuses. Par exemple, GandCrab permet aussi bien d'exploiter des accès RDP (protocole permettant à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services) faiblement sécurisés que d'utiliser des courriels d’hameçonnage, des programmes légitimes compromis et des scripts PowerShell. Il permet également l'utilisation du botnet) Phorpiex.

2. Fonctionnalités
Les cryptowares actuels présentent également des capacités avancées leur permettant de :

  • s'exécuter avec des privilèges de compte administrateur (SamSam) ;
  • d'utiliser des certificats d'authentification signés par une autorité de certification (c'est le cas de LockerGoga par exemple) ;
  • de contourner des solutions antivirales (notamment SamSam et Ryuk).

Par ailleurs, le choix des cibles est de plus en plus réfléchi. Contrairement aux vagues d'attaques massives et non ciblées constatées il y a plusieurs années, les attaques par rançongiciels actuelles sont plus souvent ciblées. Par exemple, SamSam et Ryuk ciblent des entreprises estimées très rentables, appartenant à des secteurs d'activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon. Les rançons demandées sont de ce fait plus importantes qu'avant, oscillant entre 50 000 et 170 000 dollars (payable en cryptomonnaie). Enfin, les attaquants compromettent parfois en amont le réseau des victimes afin d’établir une reconnaissance et de lancer, dans un second temps, le rançongiciel manuellement.

Résumé
Voir la rubrique Contournement Provisoire pour les indicateurs de compromission.

Contournement provisoire
Indicateurs de compromission

FamilleTaillemd5sha1sha256
LockerGoga126772852340664fe59e030790c48b66924b5bd73171ffa6dfee5f9264e3d20a1b6926ec1b60897bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f
LockerGoga12841129cad8641ac79688e09c5fa350aef20943da0a217bbda09561780f52f163a6aafeb721d605b0b972713cd8611b04e4673676cdff70345ac7301b2c23173cdfeaff564225c
LockerGoga1282576164f72dfb729ca1e15f99d456b7cf811f92339e73c7e901c0c852d8e65615cfb588a4ff68cfbd38855d2d6033847142fdfa74710b796daf465ab94216fbbbe85971aee29
LockerGoga12677283ebca21b1d4e2f482b3eda6634e8921137cdd1e3225f8da596dc13779e902d8d136373606e69548b1ae61d951452b65db15716a5ee2f9373be05011e897c61118c239a77
LockerGoga1267728a1d732aa27e1ca2ae45a189451419ed550f5a5ec13d21d4df119140547d63bc40f93b079c3d334cb7f6007c9ebee1a68c4f3f72eac9b3c102461d39f2a0a4b32a053843a
LockerGoga2097664174e3d9c7b0380dd7576187c715c468131fbfe814628db3b459ddc87bf5ed538700db17ac7a69dcfb6a3fe433a52a71d85a7e90df25b1db1bc843a541eb08ea2fd1052a4
LockerGoga8129536ba53d8910ec3e46864c3c86ebd628796d1c2dfedc602f5d5f2036b0ba5541cac8f8b4b95a84171501074bac584348f2942964c8550374c39247ec6af0f4a69756ea9fc7a
LockerGoga833024a52f26575556d3c4eccd3b51265cb4e661fdebb3c9dfa880b54e82579256acfcd4d6d40697a2ab7a94148d605f3c0a1146a70ba5c436a438b23298a1f02f71866f420c43
Ryuk15564832cbc69f85cc47d8e35dc20dfbda694835dd5239977c2922a06389061cca846ec09453bb795db7bdad1befdd3ad942be79715f6b0c5083d859901b81657b590c9628790f
Ryuk1556487a7b1300e8b5a10424e08958a6fc15c19db96b1a4bff1ffc6b945360cc5cc363642ffc94501e925e5de6c824b5eeccb3ccc5111cf6e312258c0877634935df06b9d0f8b9
Ryuk15616040492c178079e65dfd5449bf899413b6f3fa5d5942e5085586d7fcc496d3fad7804abcc2fe909d18cf0fde089594689f9a69fbc6d57b69291a09f3b9df1e9b1fb724222b
GandCrab118837795ac41c9b35035457a927978fcdd389b8b889449241f0ae1982c0db33afaa76a5d9b59d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa
GandCrab2129925f36c4861f8d90c5e5011603738c4aa623f6c73678c1ac1794a36237e51675be4cfc180d8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742
GandCrab1362748e5f4903cad2b129eef0beb7001db3d78202f983fec9e4589598966232059ff33bb226d4f6013b930287d6fdb7d1d403396e4362e34a8d70192ba97b1f35ad97f99552c0
GandCrab257024ae81f3a400cf631aafc46758e32756dd3b42ae50f7f83840e24b27fc30c2bfa158131039f85ffff8c83a93a2ab0c8ef050f25499c0aebca38f55fb58f313881da502cde7
Anatova352256366770ebfd096b69e5017a3e33577a94711f9985ba5a1933351f017022c3ed9ec92cb6daab8a76b64448b943dc96a3e993b6e6b37af27c93738d27ffd1f4c9f96a1b7e69
Anatova496642a0da563f5b88c4d630aefbcd212a35efec79b74bb6cc4ddf0bf0655a9ef73b0aff09bbc97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93
Anatova5975049d844d5480eec1715b18e3f6472618aa9ccc09beca90983815c63bed939673b2d421fc2cbd422f912affcf6d0830c13834251634c8b55b5a161c1084deae1f9b5d6830ce
Anatova314368596ebe227dcd03863e0a740b6c60592437fadc40d6dc787cb13ef11663a9bc97c79b8f48170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0
Anatova31436861139db0bbe4937cd1afc0b818049891200800368f75146320545095661fed0c3e75d02575371ff38823885b47aa21d2883792a5470e9bf1f3d2dc93f512725f35491820
Shade1222408f67045329a5e10b9329d4de8c7c15d929023b108989b61223c9dc23a8fb1ef7cd82ea66ba877748c5a561feb45f946d30223e1a309902b5a05c8574a0c3e906f6cf2ccb1
Shade10862168a714ad99ae5dbd5fd8432efafb5b8e6d8418df846e93da657312acd64a671887e8d0fa7e43fb62c12fcf1be9f9982e81a59350a8f9dd2389198c0b332cef832a63aac0f
Shade1072392751af1bd3e398cb7f3c95bdc162f5817feb458152108f81b3525b9aed2f6eb0f22af08666090a3b86cbec1e81983fcaf450dd20ec6bcfb942ae759bf7ccbda699378a28c
Shade12280401f7a4f1c2ee11b91cb03055bc36ea540441cfa1600e771aa8a78482963ebf278c297f81acff0ba8b9bde4bf5e562e2db5ec5e6a0cba331410d8b93cbcf00e08f4cfe9630
Shade1256712546debd903c57f82c97c1d875ab1c8ef7ab40cd49b54427c607327fff7ad879f926f685f0ddcd4073c567f011477e54c4632e3ae44ed41608c109e01b7f829b82701c694
Shade13547522d754117c7a8f24a646e03723a8d20959e8319015c28ff41d6a0e21dfa7a18044fb58682e6e0c121addfe84619582dd1c7a21b848042d6cd75c8a21117acb462b42b63dd
Shade10718803a29dd9147865b2c35f92a2aef0aba8d0df31f125cc125463dd230ae8980dcaae7f8061735809b55e77a750ff6d07100d5de321e513e3f33feb200d3b4323aab235f7fdd
SamSam27646602c08bc8a96b55d7998cd695dabaa6b21aec23a844e6a5af1879c41b9632a0e705bb79c8ad4147f5cbdda51317a857d75720c84bddb16338dabe374a3e60c64c2f0de
SamSam713973f14ae8ff88a63a1491e82e48f362e3aed7
SamSam2391049101fef217778423266988ce92a2e5953cbddf5f027b19e55366ecc0fd287f31379175a00bbb34b3cb16f24fbb3189e9c02ae9c7e6bfb806e89a9622007ac0ec6b5e16d9
SamSam6144b96620d8a08fa436ea22ef480dd883cea1ab74d2f06a542e77ea2c6d641aae4ed163a2da738c95f5bfe63a530b200a0d73f363d46c5671c1fcbb69c217e15a3516501a86
SamSam5632f702153b68628eff973abb2912af0d22138c3aae51e67db0c4134affae428fe91c0d1686da9c2ecc88e092e3b8c13c6d1a71b968aa6f705eb5966370f21e306c26cd4fb5
SamSam512076bd79f774ae892fd6a30b6463050a914d7a60bd1fb3677a553f26d95430c107c84851299b23bfc35b18ed80104c496b2aa722b3e56ff9ceb9dae60d1aff7230321c1d12


LockerGoga (Adresses courriel de contact) :

CottleAkela@protonmail.com<mailto:CottleAkela@protonmail.com>
QyavauZehyco1994@o2.pl<mailto:QyavauZehyco1994@o2.pl>
IjuqodiSunovib98@o2.pl<mailto:IjuqodiSunovib98@o2.pl>
AbbsChevis@protonmail.com<mailto:AbbsChevis@protonmail.com>


Solution
L'ANSSI recommande de se conformer aux mesures énoncées dans la note d'information suivante : https://www.cert.ssi.gouv.fr/informatio ... 7-INF-001/

Documentation
De nombreux articles de presse spécialisée et rapports d'éditeurs donnent des informations supplémentaires :

Ryuk
https://nakedsecurity.sophos.com/2018/1 ... -evolving/
https://www.fireeye.com/blog/threat-res ... ption.html
https://www.crowdstrike.com/blog/big-ga ... ansomware/
https://research.checkpoint.com/ryuk-ra ... ign-break/

GandCrab
https://www.bleepingcomputer.com/news/s ... ansomware/
https://www.trendmicro.com/vinfo/us/sec ... rean-users

Anatova
https://www.bleepingcomputer.com/news/s ... tionality/
https://securingtomorrow.mcafee.com/oth ... a-is-here/

Shade
https://www.welivesecurity.com/2019/01/ ... ware-spam/

SamSam
https://blog.malwarebytes.com/cybercrim ... need-know/ https://www.symantec.com/blogs/threat-i ... re-attacks

Re: ALERTE - campagnes de cryptoware (04.02.19)

MessagePosté: 27 Juin 2019, 18:41
de pierre
Alerte cloturée