Le ransomware MountLocker illustre l'évolution des attaques

Version imprimable, PDF et e-mail

Une forme relativement nouvelle du ransomware MountLocker semble rapidement recruter des affiliés pour lancer des attaques et cibler un large éventail de données de manière plus soutenue.

L'équipe de recherche et de renseignement de Blackberry a publié un rapport indiquant que la version allégée du ransomware MountLocker a bénéficié, le mois dernier, d'une mise à jour visant à la fois à élargir le ciblage des fichiers et à mieux contourner les logiciels de sécurité.

Les cybercriminels associent MountLocker, dont la taille est inférieure à 100 Ko, à d'autres malwares, notamment AdFind pour effectuer une reconnaissance du réseau et CobaltStrike Beacon pour diffuser ce malware latéralement une fois qu'il est installé.

Découvrez comment les cybercriminels associent le #ransomware #MountLocker à d'autres #malwares pour favoriser sa propagationCliquez pour tweeter

MountLocker est diffusé via une plateforme RaaS (Ransomware-as-a-Service) qui permet de chiffrer les fichiers à l'aide des algorithmes ChaCha20. Les clés de chiffrement des fichiers, quant à elles, font appel au schéma cryptographique RSA-2048. Le rapport indique que la plupart des attaques exploitant MountLocker utilisent généralement des outils informatiques basés sur le protocole RDP (Remote Desktop Protocol), auxquels ils ont obtenu l'accès au moyen d'identifiants compromis. Le plus souvent, ces identifiants proviennent de campagnes de phishing ou du dark Web.

L'équipe de sécurité de BlackBerry signale que Mountlocker ne présente pas la moindre faiblesse qui permettrait de récupérer facilement les clés et de décrypter les données. Elle souligne néanmoins que la méthode de génération des clés utilisée par le ransomware s'avère peu fiable sur le plan cryptographique et peut faire l'objet d'attaques.

Le rapport précise également que les affiliés utilisent MountLocker pour exfiltrer les données sensibles des clients via FTP avant leur chiffrement. Cela laisse à penser que les cybercriminels qui utilisent ce vecteur d'attaque menaceront de rendre publiques les données volées si les demandes de rançon ne sont pas satisfaites. D'ailleurs, des rapports récents indiquent que le montant des rançons demandées pour obtenir les clés de déchiffrement ne cesse d'augmenter. CrowdStrike estime que 81 % des attaques étudiées dont la motivation financière a été reconnue impliquaient soit un ransomware, soit un précurseur d'attaque par ransomware.

Suivre l'évolution des attaques par ransomware

Quelle que soit la manière dont les ransomwares sont diffusés ou par qui, ils représentent aujourd'hui un marché très lucratif. En l'absence de solution pour contrer pleinement ces attaques, les entreprises ont plus intérêt que jamais à se munir de copies originales de leurs données qui puissent être récupérées avec certitude en cas de chiffrement soudain de fichiers critiques. La relation entre la cybersécurité et le couple sauvegarde plus récupération continue de se renforcer ; en effet, les entreprises cherchent davantage à automatiser le processus de récupération compte tenu de leur incapacité à neutraliser les attaques par ransomware, dont l'évolution semble se poursuivre inexorablement. Récemment, lors de la conférence en ligne Black Hat Europe, il a été expliqué non seulement que ces attaques prolifèrent, mais aussi que les cybercriminels qui en sont à l'origine accèdent plus rapidement aux réseaux d'entreprise grâce à des techniques mises au point par les fournisseurs d'attaques impliquant des menaces persistantes avancées (APT).

Bien entendu, jamais il n'a été conseillé de céder aux demandes de rançon des cybercriminels. D'autant que la plupart d'entre eux restent prêts à vendre ces données glanées à la sueur de leur front même après paiement des rançons. Néanmoins, pour diverses raisons, de nombreuses personnes et entreprises continuent de payer pour récupérer leurs données, même si cela ne fait que fournir aux cybercriminels les moyens nécessaires pour lancer de nouvelles attaques.

En l'absence de lois interdisant le paiement de telles rançons au nom du bien commun, les ransomwares pourraient bien continuer d'affliger les entreprises tant que rien n'est fait.

Protégez votre entreprise des attaques par ransomware

Remonter en haut de page
Tweeter
Partager
Partager