Actus

Le rançongiciel Conti a ciblé le micrologiciel Intel pour des attaques furtives

Par , le 3 juin 2022 - 9 minutes de lecture
Le rançongiciel Conti a ciblé le micrologiciel Intel pour des attaques furtives
Notez l'article

Des chercheurs analysant les fuites de chats de la célèbre opération de rançongiciel Conti ont découvert que des équipes au sein du groupe russe de cybercriminalité développaient activement des hacks de micrologiciels.

Selon les messages échangés entre les membres du syndicat de la cybercriminalité, les développeurs de Conti avaient créé un code de preuve de concept (PoC) qui exploitait le moteur de gestion (ME) d’Intel pour écraser le flash et obtenir l’exécution du SMM (System Management Mode).

Le ME est un microcontrôleur intégré dans les chipsets Intel exécutant un micro-OS pour fournir des services hors bande. Conti fuzzait ce composant pour trouver des fonctions et des commandes non documentées qu’ils pourraient exploiter.

À partir de là, Conti pouvait accéder à la mémoire flash qui hébergeait le micrologiciel UEFI/BIOS, contourner les protections en écriture et exécuter du code arbitraire sur le système compromis.

L’objectif final serait de déposer un implant SMM qui fonctionnerait avec les privilèges système les plus élevés possibles (ring-0) tout en étant pratiquement indétectable par les outils de sécurité au niveau du système d’exploitation.

Il est important de noter que contrairement au module de TrickBot qui ciblait les failles du micrologiciel UEFI, facilitant les infections Conti et plus tard entrepris par le groupe de ransomwares, les nouvelles découvertes indiquent que les ingénieurs malveillants s’efforçaient de découvrir de nouvelles vulnérabilités inconnues dans le ME.

Attaques de micrologiciels dans les rançongiciels

Attaques de micrologiciels dans les rançongiciels

Pour qu’une attaque de micrologiciel soit possible, les acteurs du ransomware doivent d’abord accéder au système via une voie commune telle que le phishing, l’exploitation d’une vulnérabilité ou la réalisation d’une attaque de la chaîne d’approvisionnement.

Après avoir compromis le ME, les attaquants devraient suivre un plan d’attaque basé sur les régions de « protection hors écriture » ​​auxquelles ils sont autorisés à accéder, en fonction de la mise en œuvre du ME et de diverses restrictions/protections.

Eclypsium indique qu’il peut s’agir soit d’un accès pour écraser le descripteur SPI et de déplacer l’UEFI/BIOS en dehors de la zone protégée, soit d’un accès direct à la région du BIOS.

Il y a aussi le scénario où le ME n’a pas accès à l’un ou l’autre, auquel cas les acteurs de la menace pourraient tirer parti du moteur de gestion d’Intel pour forcer un démarrage à partir d’un support virtuel et déverrouiller les protections PCH qui sous-tendent le contrôleur SPI.

Conti pourrait utiliser ce flux d’attaque pour briquer les systèmes de manière permanente, obtenir une persistance ultime, échapper aux détections antivirus et EDR et contourner tous les contrôles de sécurité au niveau de la couche du système d’exploitation.

Conti disparu, mais le code est toujours vivant

Conti disparu, mais le code est toujours vivant

Alors que l’opération Conti semble s’être arrêtée, nombre de ses membres sont passés à d’autres opérations de ransomware où ils continuent de mener des attaques.

Cela signifie également que tout le travail effectué pour développer des exploits comme celui repéré par Eclypsium dans les chats divulgués continuera d’exister.

Comme l’expliquent les chercheurs, Conti avait un PoC fonctionnel pour ces attaques depuis l’été dernier, il est donc probable qu’ils aient déjà eu la chance de l’utiliser dans des attaques réelles.

Le RaaS pourrait revenir sous une forme renommée, les membres principaux pourraient rejoindre d’autres opérations de ransomware et, dans l’ensemble, les exploits continueront d’être utilisés.

Pour vous protéger contre les menaces, appliquez les mises à jour du micrologiciel disponibles pour votre matériel, surveillez ME pour les modifications de configuration et vérifiez régulièrement l’intégrité du flash SPI.

Quel est le nom du ransomware utilisé par indrik Spider evil corp sur lequel Hades serait basé ?

Quel est le nom du ransomware utilisé par indrik Spider evil corp sur lequel Hades serait basé ?

Evil Corp (alias le gang Dridex ou INDRIK SPIDER) est actif depuis au moins 2007 et est connu pour distribuer le malware Dridex. Ils se sont ensuite tournés vers le “business” des rançongiciels ; utilisant d’abord le ransomware Locky, puis leur propre souche de ransomware connue sous le nom de BitPaymer, déployée dans des attaques jusqu’en 2019.

Qu’est-ce qu’un ransomware entropique ? Après une analyse plus approfondie des deux attaques, les chercheurs ont découvert des similitudes dans le code de Dridex et Entropy, qui, selon eux, faisaient allusion à une origine commune. Alors qu’Entropy est un ransomware relativement nouveau, Dridex est un cheval de Troie bien connu ciblant la plate-forme Windows qui se propage généralement via des pièces jointes de spam malveillantes.

Qu’est-ce que le casier Macaw?

Le rançongiciel Macaw Locker est très probablement une variante de WastedLocker et lié au groupe Evil Corp/Dridex. Le rançongiciel a été découvert en octobre 2021 et exfiltre les données sensibles avant de chiffrer les fichiers.

Qu’est-ce que BitPaymer ?

BitPaymer (également connu sous le nom de « wp_encrypt ») est un virus de type ransomware découvert par le chercheur en sécurité des logiciels malveillants, S ! Ri. Immédiatement après l’infiltration, BitPaymer crypte la plupart des fichiers stockés et ajoute aux noms de fichiers l’extension “.locked” (c’est-à-dire “sample.

Qui est maman araignée ?

Qui est maman araignée ?

Présentation : MUMMY SPIDER est un groupe de cybercriminalité qui crée, distribue et exploite le botnet Emotet. Emotet est un logiciel malveillant modulaire avancé qui a pour origine un cheval de Troie bancaire (logiciel malveillant conçu pour dérober des informations aux systèmes bancaires, mais qui peut également être utilisé pour déposer d’autres logiciels malveillants et rançongiciels).

Que représente Emotet ? Emotet est un programme malveillant informatique qui a été initialement développé sous la forme d’un cheval de Troie bancaire. L’objectif était d’accéder à des appareils étrangers et d’espionner des données privées sensibles. Emotet est connu pour tromper les programmes antivirus de base et s’en cacher.

Qui dirige Emotet ?

L’acteur derrière Emotet est un groupe de hackers connu sous le nom de Mealybug. Depuis qu’ils ont commencé en 2014 avec la première et la plus simple version du cheval de Troie, ils ont transformé leur opération en une patinoire réussie de logiciels criminels qui fournit Malware-as-a-Service (MaaS).

Emotet est-il un malware ?

Emotet est une sorte de malware conçu à l’origine comme un cheval de Troie bancaire visant à voler des données financières, mais il a évolué pour devenir une menace majeure pour les utilisateurs du monde entier.

Comment supprimer les logiciels malveillants ?

Comment supprimer les logiciels malveillants ?

Comment se débarrasser des virus ou des logiciels malveillants sur Android

  • Redémarrez en mode sans échec.
  • Désinstallez toutes les applications suspectes.
  • Débarrassez-vous des publicités pop-up et des redirections de votre navigateur.
  • Effacez vos téléchargements.
  • Installez une application mobile anti-malware.

Existe-t-il un moyen gratuit de supprimer les logiciels malveillants ? Trouvez et supprimez les logiciels malveillants et autres menaces. Avast One offre une protection antimalware gratuite et en temps réel contre les infections actuelles et futures. Sécurisez votre appareil avec un puissant logiciel de lutte contre les logiciels malveillants.

Comment puis-je vérifier si mon ordinateur contient des logiciels malveillants ?

Pour ce faire, allez dans « Sécurité Windows » > « Protection contre les virus et les menaces », puis cliquez sur le bouton « Analyse rapide ». Si vous souhaitez effectuer une analyse plus approfondie, qui prendra plus de temps mais vérifiera tous vos fichiers et programmes en cours d’exécution, vous pouvez à la place cliquer sur le bouton “Options d’analyse” et choisir “Analyse complète”.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.