Actus

Le rançongiciel Conti a ciblé le micrologiciel Intel pour des attaques furtives

Par , le 3 juin 2022 - 9 minutes de lecture
Le rançongiciel Conti a ciblé le micrologiciel Intel pour des attaques furtives
Notez l'article

Des chercheurs analysant les fuites de chats de la célèbre opération de rançongiciel Conti ont découvert que des équipes au sein du groupe russe de cybercriminalité développaient activement des hacks de micrologiciels.

Selon les messages échangés entre les membres du syndicat de la cybercriminalité, les développeurs de Conti avaient créé un code de preuve de concept (PoC) qui exploitait le moteur de gestion (ME) d’Intel pour écraser le flash et obtenir l’exécution du SMM (System Management Mode).

Le ME est un microcontrôleur intégré dans les chipsets Intel exécutant un micro-OS pour fournir des services hors bande. Conti fuzzait ce composant pour trouver des fonctions et des commandes non documentées qu’ils pourraient exploiter.

À partir de là, Conti pouvait accéder à la mémoire flash qui hébergeait le micrologiciel UEFI/BIOS, contourner les protections en écriture et exécuter du code arbitraire sur le système compromis.

L’objectif final serait de déposer un implant SMM qui fonctionnerait avec les privilèges système les plus élevés possibles (ring-0) tout en étant pratiquement indétectable par les outils de sécurité au niveau du système d’exploitation.

Il est important de noter que contrairement au module de TrickBot qui ciblait les failles du micrologiciel UEFI, facilitant les infections Conti et plus tard entrepris par le groupe de ransomwares, les nouvelles découvertes indiquent que les ingénieurs malveillants s’efforçaient de découvrir de nouvelles vulnérabilités inconnues dans le ME.

Attaques de micrologiciels dans les rançongiciels

Attaques de micrologiciels dans les rançongiciels

Pour qu’une attaque de micrologiciel soit possible, les acteurs du ransomware doivent d’abord accéder au système via une voie commune telle que le phishing, l’exploitation d’une vulnérabilité ou la réalisation d’une attaque de la chaîne d’approvisionnement.

Après avoir compromis le ME, les attaquants devraient suivre un plan d’attaque basé sur les régions de « protection hors écriture » ​​auxquelles ils sont autorisés à accéder, en fonction de la mise en œuvre du ME et de diverses restrictions/protections.

Eclypsium indique qu’il peut s’agir soit d’un accès pour écraser le descripteur SPI et de déplacer l’UEFI/BIOS en dehors de la zone protégée, soit d’un accès direct à la région du BIOS.

Il y a aussi le scénario où le ME n’a pas accès à l’un ou l’autre, auquel cas les acteurs de la menace pourraient tirer parti du moteur de gestion d’Intel pour forcer un démarrage à partir d’un support virtuel et déverrouiller les protections PCH qui sous-tendent le contrôleur SPI.

Conti pourrait utiliser ce flux d’attaque pour briquer les systèmes de manière permanente, obtenir une persistance ultime, échapper aux détections antivirus et EDR et contourner tous les contrôles de sécurité au niveau de la couche du système d’exploitation.

Conti disparu, mais le code est toujours vivant

Conti disparu, mais le code est toujours vivant

Alors que l’opération Conti semble s’être arrêtée, nombre de ses membres sont passés à d’autres opérations de ransomware où ils continuent de mener des attaques.

Cela signifie également que tout le travail effectué pour développer des exploits comme celui repéré par Eclypsium dans les chats divulgués continuera d’exister.

Comme l’expliquent les chercheurs, Conti avait un PoC fonctionnel pour ces attaques depuis l’été dernier, il est donc probable qu’ils aient déjà eu la chance de l’utiliser dans des attaques réelles.

Le RaaS pourrait revenir sous une forme renommée, les membres principaux pourraient rejoindre d’autres opérations de ransomware et, dans l’ensemble, les exploits continueront d’être utilisés.

Pour vous protéger contre les menaces, appliquez les mises à jour du micrologiciel disponibles pour votre matériel, surveillez ME pour les modifications de configuration et vérifiez régulièrement l’intégrité du flash SPI.

Quel est le nom du ransomware utilisé par indrik Spider evil corp sur lequel Hades serait basé ?

Quel est le nom du ransomware utilisé par indrik Spider evil corp sur lequel Hades serait basé ?

Evil Corp (alias le gang Dridex ou INDRIK SPIDER) est actif depuis au moins 2007 et est connu pour distribuer le malware Dridex. Ils se sont ensuite tournés vers le “business” des rançongiciels ; utilisant d’abord le ransomware Locky, puis leur propre souche de ransomware connue sous le nom de BitPaymer, déployée dans des attaques jusqu’en 2019.

Qu’est-ce qu’un ransomware entropique ? Après une analyse plus approfondie des deux attaques, les chercheurs ont découvert des similitudes dans le code de Dridex et Entropy, qui, selon eux, faisaient allusion à une origine commune. Alors qu’Entropy est un ransomware relativement nouveau, Dridex est un cheval de Troie bien connu ciblant la plate-forme Windows qui se propage généralement via des pièces jointes de spam malveillantes.

Qu’est-ce que le casier Macaw?

Le rançongiciel Macaw Locker est très probablement une variante de WastedLocker et lié au groupe Evil Corp/Dridex. Le rançongiciel a été découvert en octobre 2021 et exfiltre les données sensibles avant de chiffrer les fichiers.

Qu’est-ce que BitPaymer ?

BitPaymer (également connu sous le nom de « wp_encrypt ») est un virus de type ransomware découvert par le chercheur en sécurité des logiciels malveillants, S ! Ri. Immédiatement après l’infiltration, BitPaymer crypte la plupart des fichiers stockés et ajoute aux noms de fichiers l’extension “.locked” (c’est-à-dire “sample.

Qui est maman araignée ?

Qui est maman araignée ?

Présentation : MUMMY SPIDER est un groupe de cybercriminalité qui crée, distribue et exploite le botnet Emotet. Emotet est un logiciel malveillant modulaire avancé qui a pour origine un cheval de Troie bancaire (logiciel malveillant conçu pour dérober des informations aux systèmes bancaires, mais qui peut également être utilisé pour déposer d’autres logiciels malveillants et rançongiciels).

Que représente Emotet ? Emotet est un programme malveillant informatique qui a été initialement développé sous la forme d’un cheval de Troie bancaire. L’objectif était d’accéder à des appareils étrangers et d’espionner des données privées sensibles. Emotet est connu pour tromper les programmes antivirus de base et s’en cacher.

Qui dirige Emotet ?

L’acteur derrière Emotet est un groupe de hackers connu sous le nom de Mealybug. Depuis qu’ils ont commencé en 2014 avec la première et la plus simple version du cheval de Troie, ils ont transformé leur opération en une patinoire réussie de logiciels criminels qui fournit Malware-as-a-Service (MaaS).

Emotet est-il un malware ?

Emotet est une sorte de malware conçu à l’origine comme un cheval de Troie bancaire visant à voler des données financières, mais il a évolué pour devenir une menace majeure pour les utilisateurs du monde entier.

Comment supprimer les logiciels malveillants ?

Comment supprimer les logiciels malveillants ?

Comment se débarrasser des virus ou des logiciels malveillants sur Android

  • Redémarrez en mode sans échec.
  • Désinstallez toutes les applications suspectes.
  • Débarrassez-vous des publicités pop-up et des redirections de votre navigateur.
  • Effacez vos téléchargements.
  • Installez une application mobile anti-malware.

Existe-t-il un moyen gratuit de supprimer les logiciels malveillants ? Trouvez et supprimez les logiciels malveillants et autres menaces. Avast One offre une protection antimalware gratuite et en temps réel contre les infections actuelles et futures. Sécurisez votre appareil avec un puissant logiciel de lutte contre les logiciels malveillants.

Comment puis-je vérifier si mon ordinateur contient des logiciels malveillants ?

Pour ce faire, allez dans « Sécurité Windows » > « Protection contre les virus et les menaces », puis cliquez sur le bouton « Analyse rapide ». Si vous souhaitez effectuer une analyse plus approfondie, qui prendra plus de temps mais vérifiera tous vos fichiers et programmes en cours d’exécution, vous pouvez à la place cliquer sur le bouton “Options d’analyse” et choisir “Analyse complète”.

  • IELLO Two Rooms And A Boom
    dans two rooms and a boom rouge, faites preuve de bluff et deduction pour eviter que poseur de bombe et president ne finissent dans la meme pieceh des 10 ans.le president est la cible daamp;#39;une attaque ! mais qui est le president ? et plus important encore...qui est le poseur de bombe ?identifiez le coupable... et sa cible !dans ce jeu explosif, vous etes repartis dans deux pieces separees. retrouvez vos equipiers, bluffez, negociez et designez les otages qui changeront de piece.lors du decompte final, si le president est dans la meme piece que le poseur de bombe, ca fait boum !two rooms and a boom est un jeu daamp;#39;ambiance et de deduction original, rapide et rythme ! contenu :49 cartes personnage en plastique 2 tuiles leader 1 livret de regles 1 guide des personnages
  • Shiseido Vital Perfection Intensive WrinkleSpot Treatment 20 ml
    Contrecarrer de manière ciblée les rides prononcées et les taches de pigmentation. Découvrez votre meilleur moi. Réveillez le potentiel de votre peau grâce à la formule révolutionnaire de la technologie ReNeura++TM et du rétinol. Ce puissant traitement 2 en 1 s'attaque aux causes profondes des rides et des ridules du sourire, ainsi qu'aux taches de pigmentation, et les atténue visiblement.Le rétinol (vitamine A) réduit la visibilité des rides pour une apparence jeune et radieuse.Avec le 4MSK, un principe actif très efficace développé par Shiseido qui prévient l'apparition des taches de pigmentation induites par la lumière et donne un aspect uniforme et lumineux.La ReNeura Technology++TM* favorise la réactivité de la peau qui diminue avec le temps, ce qui renforce l'efficacité des soins de la peau contre les signes du vieillissement.Contient le complexe KURENAI-TruLift à l'extrait de chardon pour une peau plus ferme.Inspiré par l'odeur de la précieuse orchidée japonaise, qui éveille les sens.48 heures d'humiditéDemande :Appliquez matin et soir comme dernière étape de votre routine de soins.Pendant la journée, utilisez un produit avec une protection UV pour garantir l'efficacité du rétinol.1. méthode d'application pour réduire les ridesPrenez une quantité de la taille d'une perle de la crème et appliquez-la sur trois zones du visage : (1) Rides sous l'œil et dans le coin externe de l'œil (2) Rides du sourire (plis nasogéniens) et rides dans la région de la bouche (3) Taches de pigmentation prononcées.Prenez une quantité supplémentaire de la taille d'une perle pour la région du cou et massez selon les illustrations.ÉTAPE 1 : Zone des yeuxÀ l'aide du majeur et de l'annulaire des deux mains, lissez doucement la crème le long du contour inférieur de l'œil, du coin intérieur au coin extérieur de l'œil.Lissez doucement les lignes d'expression d'une main. Appliquer la crème avec le majeur de l'autre main en mouvements de haut en bas.ÉTAPE 2 : Zone de la boucheAvec le majeur et l'annulaire des deux mains, tirez doucement sur les côtés des plis nasogéniens et de la bouche et faites pénétrer la crème dans la peau.ÉTAPE 3 : Zones du visage présentant des marques de pigmentationAvec les doigts du milieu des deux mains, massez doucement la crème dans la peau en faisant des mouvements circulaires.
  • Avène Antirougeurs Eau Thermale - - Fort Soin Concentré Rougeurs Installées 30 ml - Tube 30 ml
    Grâce à L'Eau thermale d'Avène, naturellement apaisante et à une forte teneur en sulfate de dextran décongestionnant, ce soin d'attaque cible les rougeurs installées et les petits vaisseaux apparents. Elle favorise également la microcirculation

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.