Catégories
Etude informatique Ransomware Sécurité

Ransomware: Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Questions sur les attaquants chez Honda et Enel (alerte spoiler) Le télétravail!

Les deux groupes ciblés par le ransomware d’Ekan, également appelé Snake, ont exposé d’anciens services RDP directement sur Internet. Mais ils avaient également des systèmes Citrix NetScaler affectés par la vulnérabilité CVE-2019-19871.

Honda et Enel ont récemment reconnu avoir été la cible de cybercriminels. Très rapidement, deux échantillons du ransomware d’Ekan, également connu sous le nom de Snake, sont apparus, suggérant que ses opérateurs avaient en fait tenté d’attraper le constructeur automobile d’un côté et la société énergétique italienne. , d’autre part. Mais où les attaquants ont-ils réussi à s’inviter, ne serait-ce que de manière relativement limitée, aux systèmes d’information de ces deux cibles?

Le chercheur Germán Fernández a très rapidement rapporté qu’un service RDP était exposé sur Internet par un système lié au nom de domaine honda.com, ainsi qu’un de ces services … mais faisant référence à Enel. Et de s’interroger naturellement sur la possibilité d’un lien entre ces services exposés directement en ligne et les attaques menées contre les deux groupes.

Mais une passerelle potentielle a été identifiée par Troy Mursch du rapport Bad Packets: systèmes Citrix affectés par la vulnérabilité CVE-2019-19781, également connue sous le nom de Shitrix. Sur Twitter, il a déclaré qu’un « serveur Citrix VPN (NetScaler) utilisé par Honda » avait été identifié comme vulnérable lors de sa première campagne de recherche de systèmes affectés. Et ajoutez que cela s’applique également à Enel. Pour ces derniers, les systèmes affectés n’ont également tué l’utilisation des correctifs « que quelque part entre le 31 janvier et le 14 février 2020 ».

Vitali Kremez souligne que « les cybercriminels continuent de rechercher des passerelles VPN d’entreprise exploitables comme premier vecteur de violation », et en particulier les systèmes Citrix / Netscaler affectés par la vulnérabilité CVE-2019-19781. En réponse, Troy Mursch se souvient avoir identifié plusieurs victimes de ransomware qui exposaient de tels systèmes: Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, par Ryuk ou encore Brittany Telecom, par DoppelPaymer.

Laisser un commentaire