Bitcoin,  Ripple

Sodinokibi Ransomware Gang cible le logiciel POS


Protection des terminaux
,
Gestion de la fraude et cybercriminalité
,
Gestion des risques de fraude

Symantec: les attaquants utilisent une attaque armée au cobalt pour propager des logiciels malveillants

Akshaya Asokan (asokan_akshaya) •
24 juin 2020

Le gang de rançongiciels de Sodinokib a ciblé les appareils de paiement au point de vente après avoir infecté les réseaux avec son malware cryptographique, selon l’équipe Threat Intelligence de Symantec.

Voir aussi: Guide de l’identité numérique: technologie et tendances

Bien que les chercheurs de Symantec aient trouvé trois incidents impliquant les réseaux de numérisation du groupe Sodinokibi de programmes de paiement POS, il n’est pas clair si les attaquants ont tenté de chiffrer les terminaux ou d’essayer de gratter des informations financières vulnérables pour les revendre à d’autres criminels, selon un nouveau rapport d’équipe.

La dernière campagne Sodinokibi a été lancée en ciblant au moins huit organisations à utiliser une version armée du logiciel d’émulation des menaces de Cobalt Strike pour propager des logiciels malveillants, note le rapport. Les attaquants ont ensuite saisi trois des sociétés cibles avec des ransomwares, puis ont ensuite analysé leur réseau à la recherche de cartes de crédit ou de logiciels POS, ajoute le rapport.

Jusqu’à présent, cette campagne s’est concentrée principalement sur les grandes entreprises multinationales de services, d’alimentation et de soins de santé, note le rapport.

«Les sociétés étaient probablement ciblées parce que les attaquants pensaient qu’ils étaient prêts à payer de grosses rançons pour rétablir l’accès à leurs systèmes», note le rapport Symantec. « Les attaquants tentent de gagner beaucoup d’argent – le remboursement demandé pour les victimes infectées par Sodinokib est de 50 000 $ en crypto-monnaie mono s’ils sont payés dans les trois premières heures et 100 000 $ par la suite. »

Parce que la moneroin est plus difficile à retracer que le Bitcoin, les chercheurs de Symantec n’ont pas découvert si l’une des victimes avait payé une rançon.

Dernière rançon de Sodinokibi (source: Symantec)

Sodinokibi, également connu sous le nom de REvil et Sodin, se concentre de plus en plus sur les grandes entreprises. Il offre également un programme de rachat en tant que service à d’autres gangs. Selon un précédent rapport de la société de sécurité Covware, le gang a reçu plus de 38 millions de dollars en rachats (voir Ryuk et Sodinokibi Surge comme Ransom Payments Double).

Formation d’adhérence

Dans une série d’attaques trouvées par Symantec, le gang Sodinokibi a utilisé plusieurs outils légitimes dans le cadre de ses tactiques d’infection. Il s’agit notamment d’un outil de gestion à distance créé par NetSupport pour installer des composants malveillants, une version armée de Cobalt Strike pour distribuer les logiciels malveillants, pour maintenir les logiciels malveillants Pasteb et un service Amazon CloudFront pour son infrastructure de gestion et de contrôle, note le rapport.

Pour infecter les victimes, les attaquants ont exploité des périphériques réseau vulnérables ou se sont appuyés sur des attaques de force brutales sur des serveurs d’accès aux bureaux distants, ont découvert des chercheurs de Symantec. Une fois l’appareil infecté, les attaquants ont tenté de contourner la détection en désactivant les logiciels de sécurité.

« Les attaquants semblent également intéressés à voler des informations d’identification sur les appareils des victimes, et on constate qu’ils augmentent le nombre de comptes d’utilisateurs, probablement dans le but de maintenir la persistance sur les machines des victimes et dans le but de continuer à maintenir le profil de la victime bas », rapportent les enquêteurs de Symantec.

Scanner POS

Dans trois cas, le gang a également vérifié les logiciels POS ou de carte de crédit lors de l’infection des réseaux avec un programme Luna, note le rapport.

Bien que deux des victimes soient des organisations plus importantes, les agresseurs ont enquêté sur une troisième entreprise – un service de santé un peu plus petit – pour voir si la victime avait pu payer une rançon, note le rapport.

Commentant les attaques des points de vente, le rapport déclare: « Une chose est claire, c’est que les acteurs qui utilisent Sodinokib sont sophistiqués et qualifiés, et n’ont aucun signe que leur activité est susceptible de décliner bientôt. Il sera intéressant de voir si ce n’était qu’une activité opportuniste dans cette campagne ou si il s’agit d’une nouvelle tactique utilisée par les gangs de ransomwares ciblés. « 

D’autres chercheurs en sécurité ont également noté cette évolution.

Histoire des attaques

Sodinokib a été détecté pour la première fois vers juin 2019 après que les administrateurs de GandCrab ont annoncé leur fermeture en tant que service de rançongiciel. Les experts en sécurité pensent que les opérateurs de GandCrab sont probablement derrière Sodiokib.

La société de change de Londres Travelex a payé un remboursement de 2,3 millions de dollars en avril pour retrouver l’accès aux informations lorsque Sodinokibi a attaqué les systèmes (voir: Travelex a payé 2,3 millions de dollars à Ransomware Gang: Report).

En mai, le gang Sodinokibi a fait pression sur un cabinet d’avocats new-yorkais de haut rang pour qu’il paie une rançon de 42 millions de dollars, menaçant de divulguer plus d’informations sur la renommée de l’entreprise à partir d’une liste de clients célèbres après l’attaque du ransomware (voir Ransomware Gangs Go (Lady) Gaga pour Data Breaches).



Ripple vise à stimuler la rapidité des transactions financières, en particulier les pacte bancaires internationales. Quiconque est précédemment envoyé de l’argent à l’étranger sait qu’à l’heure actuelle, il faut compter de 3 à 5 jours ouvrables pour qu’une transaction mettons compensée. Il est plus rapide de retirer de l’argent, de prendre l’avion et de vous rendre à destination que de l’envoyer parmi cybernétique ! Sans compter que vous paierez des frais de transaction exorbitants – habituellement de l’ordre de 6 %, par contre cela varier selon l’institution financière. L’objectif de Ripple est de rembourser ces pacte rapide (il suffit d’environ 4 secondes pour qu’une transaction mettons compensée) et bon marché. L’équipe de Ripple compte de à nous jours plus de 150 personnes, ce qui en fait l’une des plus importantes sur la terre de la crypto-monnaie. Ils sont dirigés pendant le PDG Brad Garlinghouse, qui a un curriculum vitae impressionnant qui contient des postes élevés dans quelques organisations tel que Yahoo et Hightail.