Une autre arme ajoutée à l'arsenal déjà redoutable des ransomwares, selon les chercheurs de Symantec, l'infection REvil (également connue sous le nom de Sodinokibi) a été observée en train de scanner les réseaux de ses victimes à la recherche de dispositifs de point de vente.
REvil est l'un des Ransomware-as-a-service (RaaS) les plus populaires, ce qui signifie qu'il est vendu sur le Dark Web dans des paquets " prêts à l'emploi " pour l'attaque, et est connu pour sa grande capacité à pénétrer les réseaux d'entreprise en utilisant des exploits, des services RDP vulnérables, le phishing et des fournisseurs de services gérés compromis.
L'attaque
Dans leur dernière campagne, après avoir accédé au réseau d'une cible, les pirates criminels se sont propagés latéralement, volant également des données sur les serveurs et les stations de travail, puis chiffrant toutes les machines du réseau après avoir obtenu un accès administratif au contrôleur de domaine.
Dans le cadre de la campagne observée par les chercheurs, les attaquants à l'origine de REvil ont utilisé la boîte à outils Cobalt Strike pour déployer diverses charges utiles sur les réseaux de leurs cibles.
Au total, les chercheurs ont trouvé Cobalt Strike sur les réseaux de huit entreprises visées par cette campagne, les attaquants ayant infecté et chiffré trois entreprises des secteurs des services, de l'alimentation et de la santé avec le ransomware REvil.
Les entreprises visées par cette campagne étaient principalement des grandes entreprises, notamment des multinationales, qui ont probablement été ciblées parce que les attaquants pensaient qu'elles seraient prêtes à payer une rançon importante pour retrouver l'accès à leurs systèmes.
Chacune des victimes a été invitée à payer 50 000 dollars en crypto-monnaie Monero ou 100 000 dollars si le délai de trois heures expirait.
Les pirates criminels REvil ont fait de leur mieux pour échapper à la détection après avoir obtenu l'accès aux réseaux de leurs cibles, en utilisant des infrastructures hébergées sur des services légitimes tels que Pastebin (stockage des charges utiles) et Amazon CloudFront (serveurs de commande et de contrôle).
Ils ont également désactivé des logiciels de sécurité pour empêcher la détection de leurs attaques et ont volé des informations d'identification utilisées ensuite pour ajouter des comptes "voyous" comme moyen d'obtenir la persistance sur les machines compromises.
Scans pour les systèmes PoS
Alors que les entreprises de restauration et de services étaient les cibles parfaites, car il s'agissait de grandes organisations capables de payer une rançon importante pour faire décrypter leurs systèmes, l'entreprise de soins de santé touchée était une organisation beaucoup plus petite qui n'a pas réussi à payer la rançon.
Dans ce cas, probablement motivés par le fait qu'il y avait une forte probabilité que la victime ne soit pas en mesure de payer son " décrypteur ", les opérateurs de REvil ont également scanné le réseau de l'organisation à la recherche de systèmes PoS tentant de compenser avec des données de cartes de crédit ou comme autre cible de valeur à crypter.
Bien que de nombreux éléments de cette attaque soient des tactiques "typiques" vues dans des attaques précédentes avec Sodinokibi, le balayage des systèmes des victimes pour les logiciels PoS est intéressant, car ce n'est pas quelque chose que l'on voit généralement se produire lors de campagnes de ransomware classiques.
Il sera intéressant de voir si ce n'était qu'une activité opportuniste ou si elle est appelée à devenir une nouvelle tactique.
Comme si cela ne suffisait pas, au début du mois, le ransomware REvil a également lancé un site de vente aux enchères pour vendre les données volées de leurs victimes au plus offrant.
Par Pierguido Iezzi, cofondateur de Swascan
.