Actualités

Sodinokibi \ REvil ou le ransomware dissimulé derrière une offre de souscription Cloud !

Un nouvel exploit d’exfiltration de données a été observé : Areteir.com a mis en lumière 41 tentatives du genre liées à ce ransomware dont 2 ayant débouché sur une exfiltration effective…

 

Au sein d’un rapport complet, le RaaS (Ransomware As A Service) chiffre bon nombre d’informations :

 

  • Identifiant de l’entité,
  • Pseudo,
  • Nom de la campagne,
  • Clé publique de l’attaquant,
  • Clé privée de la victime,
  • Identifiant universel, unifié de la victime,
  • Nom-propriétaire du terminal,
  • Domaine TCP / IP,
  • OS,
  • Architecture CPU,
  • Espace de stockage restant,
  • Extensions de fichiers multiples pour le chiffrement-fichiers.

 

Dans la plupart des cas, paradoxalement, le ransomware activement implémenté dans un système ne débouche pas sur une aspiration de données (hormis deux cas et selon Areteir.com, donc). Une évolution du programme malicieux (v2.2), depuis Mai dernier, a permis d’empêcher le verrouillage éventuel des fichiers qui permutaient en fichiers encryptés via Windows Restart Manager (API). Autre fait : les devises sont exigées non-plus en BTC (Bitcoin) mais en XMR (Monero).

Le point de départ de l’attaque se situe dans ns.exe, installé depuis le “folder” (dossier) du système infecté. Une fois l’exécutable installé et que les fichiers sont chiffrés, le programme se répand à l’ensemble du réseau avec une multitude de fichiers et dossiers, à leur tour, infecté et chiffrés. Des exemples sur certains accès ont été démontrés : certains pointent jusqu’à un accès DNS via une connexion SSL relative au port 443, entre-autres… Une vaste attaque qui, en aparté, utilise partiellement la vulnérabilité CVE-2018-8453, pour effectuer l’élévation de privilèges… A veiller !

 

 

Source : AretIR – Juillet 2020 – Rapport Sodinokibi \ REvil : exploit + liste complète des domaines, fichiers et dossiers infectés.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020