Catégories
Attaque Etude Hakbit informatique Ransomware Sécurité

Les récents e-mails de Phishing ont propagé le ransomware Hakbit à l’aide de pièces jointes Microsoft Excel malveillantes et de suppressions GuLoader.

Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.

La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.

« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. « 

Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.

«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »

Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.

Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.

sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.

Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).

Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.

Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.

Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.

« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN

Laisser un commentaire