Un nouveau groupe de ransomware abuse de BitLocker, une fonctionnalité de chiffrement native de Windows, pour chiffrer des volumes entiers et exiger des rançons.

Les attaquants déploient un script VBScript sophistiqué qui tire parti de BitLocker pour effectuer le chiffrement de fichiers non autorisés. Ce script a été détecté au Mexique, en Indonésie et en Jordanie. Les attaquants ont un contrôle total sur le système cible, ce qui leur permet de maximiser les dégâts et de compliquer la réponse à l’incident.
…/…

Mesures d’atténuation

• Les entreprises sont encouragées à utiliser BitLocker ou d’autres outils de chiffrement (tels que VeraCrypt) pour protéger leurs secrets d’entreprise. Cependant, quelques précautions doivent être prises pour éviter que les attaquants n’en abusent.
  • Utiliser une solution EPP robuste et correctement configurée pour détecter les menaces qui tentent d’abuser de BitLocker ;
  • Mettre en œuvre la détection et la réponse gérées (MDR) pour rechercher les menaces de manière proactive ;
  • Si BitLocker est activé, assurez-vous que vous utilisez un mot de passe fort et que les clés de récupération sont stockées dans un endroit sûr ;
  • Veillez à ce que les utilisateurs ne disposent que de privilèges minimaux. De cette façon, ils ne peuvent pas activer les fonctions de chiffrement ou modifier les clés de registre de leur propre chef ;
  • Activez la journalisation et la surveillance du trafic réseau. Configurez l’enregistrement des requêtes GET et POST. En cas d’infection, les requêtes adressées au domaine de l’attaquant peuvent contenir des mots de passe ou des clés ;
  • Surveillez les événements associés à l’exécution de VBS et de PowerShell, et enregistrez les scripts et les commandes consignés dans un référentiel externe stockant les activités susceptibles d’être supprimées localement ;
  • Effectuer fréquemment des sauvegardes, les stocker hors ligne et les tester.
• Si vous avez besoin d’aide pour enquêter sur une attaque de ransomware et récupérer des données cryptées, veuillez nous contacter à l’adresse gert@kaspersky.com.

Conclusion

• Notre réponse aux incidents et notre analyse des logiciels malveillants montrent que les attaquants affinent constamment leurs tactiques pour échapper à la détection. Dans cet incident, nous avons observé l’utilisation abusive de la fonction native de BitLocker pour le chiffrement non autorisé des données. Le script VBS démontre que l’acteur malveillant impliqué dans cette attaque a une excellente compréhension des rouages de Windows. Bien que l’analyse du script ne soit pas compliquée, ce type de menace est difficile à détecter, car les chaînes uniques contenues dans l’artefact peuvent être facilement modifiées pour contourner les règles YARA. Par conséquent, la meilleure méthode de détection dans des scénarios comme celui-ci est l’analyse comportementale, qui met en corrélation les différentes actions effectuées par l’application pour parvenir à un verdict.

Les produits Kaspersky détectent la menace décrite dans cet article avec les verdicts suivants :

• Trojan.VBS.SAgent.gen;
• Trojan-Ransom.VBS.BitLock.gen;
• Trojan.Win32.Generic.

Pour plus d’informations, vous pouvez lire l’article complet sur Securelist.

Views: 6