Shade Ransomware fonctionne cesse ses opérations
Un récent rapport indique que les opérateurs Shade mettraient fin à toutes leurs opérations. Avec cela, la souche de ransomware la plus ancienne depuis 2014 – lorsque les chercheurs en sécurité ont détecté les données chiffrées des victimes de la variante – touche à sa fin. Le gang des criminels a été actif à partir de ce moment avec des campagnes menées à un rythme assez constant. Leurs activités sont tombées d’une falaise avec leurs annonces:
«Nous sommes l’équipe qui a créé un chiffreur de cheval de Troie principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons arrêté sa distribution fin 2019. Nous avons maintenant pris la décision de mettre le dernier point dans cette histoire et de publier toutes les clés de décryptage que nous avons (plus de 750 milliers). Nous publions également notre logiciel de décryptage; nous espérons également qu’avec les clés, les sociétés antivirus publieront leurs propres outils de décryptage plus conviviaux. Toutes les autres données liées à notre activité (y compris les codes sources du cheval de Troie) ont été irrévocablement détruites. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons publiées les aideront à récupérer leurs données. »
The Gang s’est rendu à GitHub en 2019 pour faire cette annonce. Ce message confirme que le gang a libéré quelque 750 000 clés de décryptage pour aider les victimes à récupérer leurs fichiers. Ils l’ont fait comme un acte de bonne foi. Le chercheur de Kaspersky Labs, Sergey Golovanov, a déjà vérifié ces clés. L’entreprise de sécurité travaille actuellement sur un outil de décryptage qui faciliterait le processus de décryptage. Rien n’a annoncé sur les données lorsque cet outil sera publié, mais il peut s’attendre à ce qu’il soit disponible dans un avenir proche. Kaspersky Labs sont ceux qui ont l’expérience de traiter avec Shade car ils ont publié plusieurs outils de décryptage.
Bien que la sortie de l’outil puisse être considérée comme un acte de bonne foi, elle s’accompagne d’un certain nombre de mises en garde. Il est vrai que la sortie de l’outil aidera un certain nombre de victimes à accéder à leurs données chiffrées par le ransomware. Cette version de l’outil aide le kaspersky à créer un décrypteur indispensable.
Comme indiqué plus haut dans l’introduction, l’histoire du ransomware Shadow a commencé en 2014. Le gang l’a distribué via des campagnes de spam et des kits d’exploitation. Ce n’était pas une souche parfaite, comme en témoignent les multiples programmes de décryptage développés par kaspersky et d’autres sociétés de sécurité. La première méthode de distribution a été découverte par Avast. Cela a eu lieu en juin 2019 lorsque la société de sécurité a été en mesure de bloquer 100000 instances de ransomware, suivies comme Troldesh. La campagne ciblait des individus aux États-Unis, au Royaume-Uni et en Allemagne. Cependant, la détection a été de loin la plus importante en Russie et au Mexique. Avast a noté que le ransomware avait été diffusé via des courriers indésirables, des cas de malware ont été vus distribués via les réseaux sociaux et les plateformes de messagerie. Ils ont en outre remarqué:
«Nous constatons un pic dans le nombre de ses attaques qui est probablement plus à voir avec les opérateurs de Troldesh qui tentent de pousser cette contrainte plus durement et plus efficacement que n’importe quel type de mise à jour de code significative. Troldesh se propage dans la nature depuis des années avec des milliers de victimes avec des fichiers rançonnés et il restera probablement répandu pendant un certain temps. »
La deuxième campagne a été analysée par MalwareBytes. Ils l’ont fait lorsqu’ils traitent un pic dans une détection qui a commencé vers la fin de 2018 et a duré jusqu’à la moitié du premier trimestre de 2019. Le pic de l’activité est apparu que les gangs de ransomwares ont commencé à ralentir la distribution en faveur de la distribution d’autres logiciels malveillants tels que les mineurs de crypto-monnaie.
Encore une fois, le ransomware s’est propagé en joignant le code malveillant de celui-ci dans un fichier en tant que pièce jointe d’un courrier indésirable. Le fichier était souvent un fichier zip, s’il était ouvert – il a extrait un fichier JavaScript contenant la charge utile du ransomware. Une fois exécutée, l’infection commencerait par le cryptage des fichiers et leur ajout avec un certain nom d’extension. Un fichier .txt est apparu à la suite de cela avec une instruction sur la façon de payer la rançon afin de décrypter les fichiers. Les chercheurs ont déclaré:
«Les victimes de Troldesh reçoivent un code unique, une adresse e-mail et une URL vers une adresse oignon. Ils sont priés de contacter l’adresse e-mail mentionnant leur code ou de se rendre sur le site de l’oignon pour de plus amples instructions. Il n’est pas recommandé de payer les auteurs de la rançon, car vous allez financer leur prochaine vague d’attaques. Ce qui distingue Troldesh des autres variantes de ransomware, c’est le grand nombre de fichiers readme # .txt avec la note de rançon déposée sur le système affecté et le contact par e-mail avec l’acteur de la menace. Sinon, il utilise un vecteur d’attaque classique qui s’appuie fortement sur le piégeage des victimes non informées. Néanmoins, il a connu beaucoup de succès dans le passé et dans sa vague d’attaques actuelle. Les décrypteurs gratuits disponibles ne fonctionnent que sur quelques-unes des anciennes versions, de sorte que les victimes devront probablement compter sur des sauvegardes ou des fonctionnalités de restauration. »
Bien qu’un gang ait décidé de cesser toutes ses opérations, pour beaucoup, c’est le statu quo. Par conséquent, vous ne devez pas baisser la garde. L’équipe de Threat Protection Intelligence de Microsoft a émis un avertissement que cette fois, les attaquants n’ont pas menacé de divulguer les données publiquement, cela ne signifie pas qu’ils ne les ont pas volés. De plus, ils ont déclaré:
«Plusieurs groupes de ransomwares qui ont accumulé l’accès et maintenu la persistance sur les réseaux cibles pendant plusieurs mois ont activé des dizaines de déploiements de ransomwares au cours des deux premières semaines d’avril 2020. Jusqu’à présent, les attaques ont touché des organisations d’aide, des sociétés de facturation médicale, la fabrication, le transport, le gouvernement les institutions et les fournisseurs de logiciels éducatifs, montrant que ces groupes de ransomwares accordent peu d’attention aux services essentiels qu’ils impactent, malgré la crise mondiale. Ces attaques, cependant, ne se limitent pas aux services essentiels, les organisations doivent donc être vigilantes quant aux signes de compromis. »
Vous devez vous défendre contre les victimes des gangs de ransomwares. Microsoft conseille aux administrateurs réseau de parcourir PowerShell, Cobalt Strike et d’autres outils de test de pénétration. Ils doivent également rechercher un accès suspect au service de sous-système de l’autorité de sécurité locale et une modification suspecte du registre ainsi que des preuves de falsification des journaux de sécurité. Ces conseils sont dus à ces vulnérabilités:
- Points de terminaison RDP ou Virtual Desktop sans authentification multifacteur
- Serveurs Microsoft Exchange affectés par CVE-2020-0688
- Systèmes Zoho ManageEngine affectés par CVE-2020-10189
- Systèmes Citrix ADC affectés par CVE-2019-19781
- Systèmes Pulse Secure VPN affectés par CVE-2019-11510
- Serveurs Microsoft SharePoint affectés par CVE-2019-0604