Qu’est-ce que WastedLocker Ransomware et comment s’en protéger ?
Comme la plupart des rançongiciels,WastedLocker attaque les ordinateurs en cours d'exécution les fenêtres . Cependant, WastedLocker est un chasseur de gros gibier
Il s’attaque aux grandes entreprises et demande d’énormes rançons. Alors que de nombreuses attaques de ransomware demandent quelques centaines de dollars, WastedLocker exige des millions de dollars .
Le groupe de hackers derrière WastedLocker est très bien organisé. Depuis le début de ce siècle, l’équipe est en activité et a gagné plus de 100 millions de dollars.
Qui se cache derrière le ransomware WastedLocker ?
WastedLocker est un produit de Société maléfique , qui est également connu sous le nom Araignée Indrik . Il s'agit d'un groupe de hackers russes qui a connu son premier succès avec Zeus , un cheval de Troie bancaire. Le produit le plus célèbre de ce groupe était Dridex , un cheval de Troie bancaire qui rapportait beaucoup d'argent. Dridex a été actif de 2011 à 2020 et a été développé comme une amélioration de Zeus.
Le groupe Evil Corp est dirigé par Maxime Yakubets et Igor Tourachev . En décembre 2019, l’Office of Foreign Assets Control (OFAC) du Département du Trésor américain a émis un mandat d’arrêt contre les deux hommes. En outre, il a offert une récompense de 5 millions de dollars pour toute information conduisant à leur arrestation. Mais malheureusement, ils n’ont toujours pas été arrêtés.
La principale raison de l’intérêt des autorités américaines pour Evil Corp est Dridex, et non le Rançongiciel WastedLocker . Cependant, l’attention sérieuse des agences de sécurité américaines a contraint Evil Corp à réévaluer l’ensemble de ses activités, et le groupe est resté temporairement silencieux jusqu’au début de l’année 2020.
La source du rançongiciel WastedLocker
Evil Corp a développé pour la première fois un ransomware en 2017 avec le chiffrement bitpaymer . C'était un ' chasseur de gros gibier », ce qui signifie qu’il visait les grandes entreprises et demandait de grosses rançons. Bitpaymer était le précurseur du ransomware WastedLocker.
Bitpaymer a été lancé en 2017, ciblant hôpitaux au Royaume-Uni. Les attaques se sont ensuite concentrées sur de vastes Entreprises américaines . Le mécanisme de livraison du ransomware était basé sur les modules Dridex.
En 2019, Evil Corp a créé une variante de Bitpaymer, appelée DoublePaymer , un Ransomware en tant que service système. RaaS permet à d'autres pirates informatiques d'utiliser un système de ransomware moyennant des frais sans les laisser accéder au code.
En mai 2020, le groupe a lancé GaspilléLocker en remplacement de Bitpaymer. Le nouveau ransomware partage certaines similitudes procédurales avec Bitpaymer, mais son code est complètement différent.
Les attaques WastedLocker sont hautement adapté . Non seulement le groupe mène des recherches approfondies pour accéder à un réseau, mais il produit également différents modules pour chaque attaque et une demande de rançon ciblée. Le groupe est également capable d'ajuster une attaque au fur et à mesure qu'elle se produit. Dans certains cas, les gestionnaires de réseau ont pu repérer et supprimer le compte-gouttes WastedLocker, ce qui a amené le groupe à supprimer manuellement un remplacement plus furtif.
Le début d’une attaque WastedLocker
La majorité des cibles du ransomware WastedLocker étaient de grandes entreprises américaines. La victime voit une fenêtre contextuelle lors de la visite de sites spécifiques qui leur conseillent de mettre à jour leur navigateur. La fenêtre contextuelle, lorsqu'elle est enfoncée, télécharge un fichier zip contenant un module JavaScript appelé SocGolish .
Les sites Web sur lesquels les popups apparaissent ne sont pas la propriété d’Evil Corp. Ils appartiennent et sont gérés par des organisations légitimes, et le groupe Evil Corp a réussi à les infecter. Sites d'actualités sont régulièrement la cible de cette infection.
Le module installe et exécute des scripts PowerShell et le Frappe au cobalt porte arrière. Cela donne l’entrée aux pirates et ils utiliseront des méthodes manuelles et automatisées pour poursuivre l’attaque.
Que se passe-t-il lors d’une attaque de ransomware WastedLocker ?
Le point de départ du pirate informatique est un point final du système sur lequel la porte dérobée Cobalt Strike est installée. En utilisant son expérience et une boîte à outils de services d'analyse du système, le pirate informatique construit ensuite un profil de comptes utilisateur sur le point final et les connexions vers d’autres points finaux à travers le réseau. Le pirate informatique enquêtera également sauvegarde processus et supprimez les fichiers pour les télécharger sur le serveur de sauvegarde afin de déclencher une infection par ransomware.
À ce stade, l’activité s’inscrit davantage dans le cadre d’une menace persistante avancée qu’une attaque de ransomware. Les outils incluent des systèmes permettant de capturer les informations d'identification et d'accéder au compte d'un utilisateur sur l'appareil consulté via un accès à distance système qui permet au pirate informatique d’acquérir l’identité de l’utilisateur et de communiquer avec d’autres membres de l’organisation.
La phase de reconnaissance de l'attaque permet au pirate informatique de se déplacer sur le réseau pour localiser les principaux magasins de fichiers et serveurs de bases de données, qui deviendront des cibles d'infection. Une fois que le chef d'équipe est convaincu que suffisamment des cibles de grande valeur ont été acquis, le ransomware WastedLocker est activé.
Cryptage WastedLocker
Le ransomware effectue plusieurs tâches avant de lancer le chiffrement. Il supprime tout clichés instantanés de documents de travail générés par les fonctions de sauvegarde automatique. Il désactivera également Windows Defender, élèvera l'accès à son compte au rang d'administrateur et installera le processus de cryptage en tant que service.
Le système génère une clé de cryptage différente pour chaque fichier. C'est un AES chiffre avec une clé de 256 bits. Ces clés sont ensuite répertoriées dans un fichier chiffré avec un code de 4 096 bits. RSA chiffrer. C'est le Clé publique , qui a chiffré les fichiers. RSA utilise une clé différente pour déchiffrer. Cela ne peut pas être dérivé de la clé de cryptage. Par conséquent, connaître la clé publique ne sert à rien à la victime. Cependant, il peut être utilisé comme code de référence pour le processus de décryptage. Les paires de clés RSA semblent être générées hors site et la clé publique est envoyée au système cible tandis que la clé privée est conservée sur le serveur Evil Corp pour être livrée après paiement.
Le WastedLocker ne crypte pas les fichiers système ni les exécutables, l'ordinateur est donc toujours opérationnel . Cependant, il chiffrera les fichiers de travail, tels que les documents, les feuilles de calcul, les images, les fichiers vidéo et audio. Il crypte également les fichiers de stockage de la base de données. Plutôt que de simplement travailler sur un ordinateur par ordre alphabétique ou de commencer par le premier ordinateur contacté, WastedLocker identifie le magasin de données le plus critique et commence par ce qui semble être son emplacement. valeur la plus élevée annuaire.
Chaque fichier est écrasé par sa version cryptée. Le nom de fichier reçoit ensuite une extension supplémentaire. Il s'agit du nom de l'entreprise cible et gaspillé , par exemple, un fichier appelé dépenses.docx sur un ordinateur d'une société appelée NewWorks, Inc. se retrouvera avec le nom dépenses.docx.newworkswasted. Le processus de cryptage génère également une demande de rançon pour chaque fichier crypté. Le texte de la note est le même dans tous les cas, vous n’aurez donc qu’à en ouvrir une. Il s'agit d'un fichier texte portant le même nom que le fichier crypté mais avec _info. Ainsi, dans le cas de l’exemple, la demande de rançon associée serait dépenses.docx.newworkswasted_info.
La demande de rançon a le format suivant :
VOTRE RÉSEAU EST CRYPTÉ MAINTENANT
UTILISER
NE DONNEZ PAS CET EMAIL À DES TIERS
NE PAS RENOMMER NI DÉPLACER LE FICHIER
LE FICHIER EST CHIFFRÉ AVEC LA CLÉ SUIVANTE :
[begin_key]
GARDE LE
Les adresses e-mail utilisées pour le contact ne sont utilisées que pour une seule attaque. Ils sont toujours sur les domaines suivants :
- PROTONMAIL.CH
- AIRMAIL.CC
- ECLIPSO.CH
- TUTANOTA.COM
- PROTONMAIL.COM
Une fois que l’attaque a chiffré tous les fichiers cibles accessibles sur le système de la victime, le processus du ransomware se termine. Il ne continue pas avec d’autres stratégies d’attaque, telles que la suppression de fichiers ou l’infection du processus de démarrage. Tous les nouveaux fichiers créés après l'attaque ne seront pas cryptés.
Récupération après une attaque WastedLocker
Il y a certainement pas pour décrypter les fichiers qui ont été cryptés lors d'une attaque de ransomware WastedLocker sans payer la rançon. Le cryptage AES qui convertit les fichiers est incassable, tout comme le cryptage RSA qui protège la liste des clés AES. Aucun cabinet de conseil en cybersécurité ne propose un service de décryptage.
La meilleure façon de se remettre d'une attaque sans payer est de s'assurer d'avoir sauvegardes de tous les fichiers critiques et que votre processus de sauvegarde et vos magasins sont tous très bien protégés. Comme le groupe Evil Corp utilise l'exploration manuelle et se déplace dans le système aussi longtemps que nécessaire pour obtenir tous les magasins de données essentiels, ces emplacements de sauvegarde sont généralement également cryptés.
Les demandes de rançon de WastedLocker varient entre 500 000 et 10 millions de dollars. L’attaque la plus célèbre à ce jour a eu lieu contre l’entreprise technologique américaine Garner en octobre 2020. On lui a demandé 10 millions de dollars. Personne ne sait si l’entreprise a payé ce montant total. Cependant, ils ont payé parce qu’ils ont obtenu la clé de décryptage. Il semble donc que le groupe Evil Corp soit prêt à négocier .
Se défendre contre le rançongiciel WastedLocker
La bonne nouvelle est que WastedLocker est n'est plus actif . Cependant, son successeur, appelé Enfers, est en circulation. Ceci est très proche de WastedLocker mais possède quelques fonctionnalités d'obscurcissement supplémentaires à considérer comme WastedLocker II .
La meilleure défense réside dans une cybersécurité intelligente, susceptible et sensible données , qui dispose de réglementations supplémentaires concernant son utilisation et sa protection. Voici trois packages de cybersécurité qui offrent une défense compétente contre le ransomware WastedLocker.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un package de détection et de réponse des points finaux (EDR). Il comprend un module de coordination pour créer une protection à l'échelle de l'entreprise. L'agent de point de terminaison s'installe sur Windows, macOS et Linux et le superviseur est un service basé sur le cloud.
La combinaison de la protection des appareils et de la surveillance du système constitue une excellente défense contre les systèmes de ransomware tels que WastedLocker et Hades. Les modules sur site utilisent Détection d'une anomalie , ce qui lui permet de détecter de tout nouveaux logiciels malveillants ou des activités apparemment authentiques effectuées par des comptes d'utilisateurs légitimes. L'EDR isolera les appareils s'il détecte une activité suspecte. Il peut également supprimer les fichiers malveillants et tuer les processus. Le système de protection des points finaux est entièrement autonome et peut être acheté séparément. Il est commercialisé comme CrowdStrike Falcon Empêcher .
Le module basé sur le cloud est un chasseur de menaces qui repose sur les téléchargements de journaux d'activité à partir des agents de point de terminaison. Cela obtient flux de renseignements sur les menaces de CrowdStrike qui met à jour ses stratégies de recherche de données. Le coordinateur informera tous les points finaux des menaces détectées, qu'elles soient identifiées dans les données ou notifiées par un point final.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
Essai GRATUIT de Falcon Prevent Start de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un protecteur de données sensibles conçu pour les entreprises qui doivent se conformer aux normes HIPAA, PCI DSS et autres normes de confidentialité des données .
Le système comprend un module eDiscovery qui identifie les magasins de données sensibles et catégorise les types de données qui y sont conservées. Cela vous permet d'augmenter les mesures de sécurité pour ces emplacements. De plus, le système de défense de DataSecurity Plus est mis en œuvre comme un moniteur d'intégrité des fichiers (FIM). Cela détectera immédiatement les actions de chiffrement et les bloquera.
Le système examine les processus qui tentent d'accéder aux magasins de données sensibles et mesure leur intention. Ensuite, le package bloquera toute activité malveillante en tuant les processus et en suspendant les comptes d'utilisateurs compromis.
DataSecurity Plus est un progiciel sur site qui s'installe sur Serveur Windows . Il est disponible pour un essai gratuit de 30 jours .
3. BitDefender GravityZone
BitDefender GravityZone est un ensemble de systèmes de cyberdéfense qui fonctionnent très bien en combinaison pour se protéger contre WastedLocker et Hades. La défense la plus importante est sa gestion sauvegarde service.
Implémentations de GravityZone analyse des logiciels malveillants en plusieurs points du système. Il analyse les points finaux et tous les fichiers téléchargés dessus. Le système protège également l'accès au magasin de sauvegarde, analysant chaque fichier avant de le laisser fonctionner. Cela inclut même les transferts commandés manuellement.
Le package GravityZone a un scanner de vulnérabilité et un gestionnaire de correctifs pour réduire votre surface d’attaque. Il existe également un moniteur d’intégrité des fichiers en dernier recours. GravityZone implémente des réponses automatisées. Il peut isoler un appareil dès qu’il détecte une activité suspecte. Cela limitera les dommages potentiels que WastedLocker et Hades pourraient causer.
BitDefender GravityZone est un progiciel qui s'exécute comme une appliance virtuelle. Il est disponible pour un essai gratuit d'un mois .