En août 2023, l’équipe Sophos X-Ops Incident Response a été engagée pour soutenir une organisation en Australie infectée par le ransomware Money Message. Ce vecteur d’attaque, connu pour sa furtivité, n’ajoute aucune extension de fichier aux données cryptées, ce qui rend plus difficile pour les victimes d’identifier les fichiers cryptés simplement en repérant ces extensions.
Dans cet article, nous examinerons le flux d’attaques incidentes, illustrant comment les acteurs de la menace déploient le ransomware Money Message et quelles mesures peuvent lutter contre les efforts des attaquants à différents points de la chaîne MITRE ATT&CK.
Prenez-en note
Dans le cadre de sa routine, le ransomware dépose une demande de rançon nommée « money_message.log » directement dans le répertoire racine du lecteur C:.
La demande de rançon sur le système de la cible se lisait comme suit :
Vos fichiers ont été cryptés par l’organisation rentable « Money message » et ne sont plus accessibles.
Si vous payez une rançon, vous obtiendrez un décrypteur pour les décrypter. N’essayez pas de décrypter les fichiers vous-même – dans ce cas, ils seront endommagés et irrécupérables.
Pour d’autres négociations, ouvrez ce
en utilisant le navigateur Tor https://www.torproject.org/download/
Si vous refusez de payer, nous publierons les fichiers que nous avons volés sur votre réseau interne, sur notre blog :
Les fichiers cryptés ne peuvent pas être déchiffrés sans notre logiciel de décryptage.
Détails du flux d’attaque
Accès initial
Notre enquête indique que l’attaquant a obtenu un premier accès via le VPN de la cible, qui utilisait une authentification à un seul facteur. Ceci est un exemple de MITRE T1078 – Comptes valides technique.
Conseils
La mise en œuvre de l’authentification multifacteur (MFA) pour les connexions VPN est primordiale pour améliorer la sécurité et contrecarrer les accès non autorisés potentiels. De plus, une surveillance continue des journaux VPN et de l’activité des utilisateurs doit être mise en place pour détecter rapidement toute tentative de connexion suspecte ou anomalie. La mise à niveau vers une approche d’authentification plus robuste et en couches, telle que la MFA, est essentielle pour renforcer la première ligne de défense contre les acteurs malveillants potentiels cherchant à exploiter des vulnérabilités à un seul facteur et à obtenir un accès VPN non autorisé.
Évasion de la défense
L’acteur malveillant a déployé la stratégie GPO pour désactiver la protection en temps réel de Windows Defender. Ceci est un exemple de MITRE T1562.001 : Affaiblir les défenses : désactiver ou modifier les outils sous-technique.
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender] DisableAntiSpyware: [REG_DWORD_LE] 1 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Real-time Protection] DisableRealtimeMonitoring: [REG_DWORD_LE] 1
Conseils
La première ligne de défense dont disposent les organisations consiste à utiliser un agent de sécurité doté d’une solide protection contre les falsifications. En termes de surveillance de cette activité, il s’agit de sources d’événements prêtes à être détectées. Bien qu’il soit possible qu’un administrateur système désactive ces protections (au moins temporairement) pendant le dépannage, étant donné le risque de cette activité, il s’agit d’un problème qui doit faire l’objet d’une enquête rapide si aucun ticket d’assistance correspondant n’est trouvé.
Mouvement latéral
L’acteur malveillant a utilisé psexec pour exécuter un script batch dans le but d’activer le port RDP, puis d’utiliser le protocole RDP (Remote Desktop Protocol) pour traverser le réseau. Ceci est un exemple de MITRE T1021.001 : Services à distance : protocole de bureau à distance sous-technique. Le RDP est une constatation courante dans les cas traités par Incident Response, comme le montrent nos conclusions sur les cas IR traités au cours du premier semestre 2023.
Figure 1 : Détections d’abus de RDP dans les cas d’IR pour le premier semestre 2023
Le contenu du script batch est le suivant :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f Enable-NetFirewallRule -DisplayGroup 'Remote Desktop' netsh advfirewall firewall add rule name="Open Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
Conseils
Sécuriser l’accès RDP peut être difficile pour de nombreuses entreprises, mais c’est un projet qui mérite d’être investi. Le premier élément à cocher est de restreindre, par rôle, les comptes qui peuvent accéder à d’autres systèmes utilisant RDP. L’écrasante majorité des utilisateurs n’ont pas besoin de cet accès. Deuxièmement, l’adoption d’un serveur de saut centralisé, auquel seuls les administrateurs peuvent accéder avec MFA et le blocage au niveau du réseau d’autres RDP de système à système constituent un contrôle préventif puissant. Enfin, une détection doit être mise en place pour examiner rapidement les connexions RDP anormales afin de les résoudre avec l’activité d’administration système approuvée.
Accès aux informations d’identification
L’acteur malveillant, à l’aide de Secretsdump.py (qui fait partie de la boîte à outils Impacket), a récupéré la ruche du registre SAM. Ceci est un exemple d’une façon d’exécuter MITRE. T1003.002 : Dumping des informations d’identification du système d’exploitation : gestionnaire de comptes de sécurité sous-technique.
C:\WINDOWS\system32\svchost.exe -k localService -p -s RemoteRegistry
Conseils
Il est crucial pour les organisations de donner la priorité à la protection des informations d’identification sensibles. La mise en œuvre de contrôles d’accès stricts, l’utilisation de solutions robustes de détection et de réponse aux points de terminaison et la surveillance de toute activité suspecte liée à l’accès à la ruche SAM sont des étapes essentielles. Toute tentative non autorisée d’accès ou de manipulation de ce composant critique du système doit faire l’objet d’une enquête rapide, car elle peut indiquer une violation ou une activité malveillante susceptible de compromettre la sécurité des informations d’identification sensibles.
Collection
Un compte compromis confirmé a été utilisé pour accéder à des dossiers sensibles tels que Finance, Paie, SalesReport et HR dans FileServer. MITRE répertorie 37 sous-sous-sous-techniques sous TA0009 : Collecte.
Conseils
Souvent, au moment où un acteur malveillant rassemble des données, il est trop tard pour obtenir de bons résultats en matière de sécurité. Une bonne approche pour prévenir le vol de données consiste à adopter un accès au moindre privilège, ce qui signifie garantir que seules les personnes requises ont accès, suivi de contrôles granulaires sur l’exportation, le partage ou le déplacement des fichiers. Les solutions DLP, bien que difficiles à mettre en œuvre et à maintenir, méritent d’être évaluées pour les données à haut risque.
Exfiltration
L’acteur malveillant a utilisé MEGAsync pour exfiltrer les données. C’est un exemple de MITRE T1567.002 : Exfiltration via un service Web : Exfiltration vers le stockage cloud.
UserAssist entry: 87 Value name: C:\Users\<redacted>\AppData\Local\Temp\6\MEGAsyncSetup32.exe Count: 1 User ”<redacted> registered Task Scheduler task “\MEGA\MEGAsync Update Task S-1-5-21-<redacted>"
Conseils
Les organisations doivent se concentrer sur l’amélioration des mesures de prévention des pertes de données et sur la surveillance du réseau. La mise en œuvre d’une analyse robuste du trafic sortant et d’une inspection du contenu peut aider à identifier et à bloquer les transferts de données suspects. De plus, surveiller de près les activités de MEGAsync et détecter tout transfert de données inhabituel ou non autorisé peut s’avérer essentiel pour atténuer les violations de données. Enquêtez et réagissez rapidement à tout signe d’exfiltration non autorisée afin d’éviter toute compromission potentielle des données et de minimiser l’impact sur la confidentialité des données.
Impact
L’auteur de la menace a exploité deux binaires de ransomware, un pour l’environnement Windows et un pour l’environnement Linux. La version Windows s’appelle windows.exe et est détectée comme Troj/Ransom-GWD par Sophos. Ceci est un exemple de MITRE T1486 : Données chiffrées pour impact.
- Le chiffreur Money Message est écrit en C++ et comprend un fichier de configuration JSON intégré qui contient des détails clés tels que les dossiers à bloquer, l’extension à ajouter, les services et processus à terminer, ainsi que les noms de connexion et mots de passe de domaine susceptibles d’être utilisés pour chiffrer. Autres appareils.
- Le chiffreur utilise l’algorithme ChaCha Quarter Round et le cryptage ECDH
- Le ransomware crée la note de rançon C:\money_message.log une fois terminé
- Sur les endpoints protégés avec Sophos, la détection suivante est déclenchée :
Logiciel malveillant détecté : « Troj/Ransom-GWD » dans « C:\Users\
La variante Linux s’appelle « esxi ». Lors de son exécution, elle supprimera tous les disques durs virtuels. Ceci est un exemple de MITRE T1561 : Effacement du disque.
Commandes exécutées sur l’hôte ESXi :
cd /tmp/ chmod 777 esxi dir ls ./esxi
Conseils
Comme mentionné précédemment, à ce stade avancé de l’attaque, il est essentiel de disposer d’une couverture complète sur tous les systèmes avec une solution XDR correctement configurée pour protéger les organisations contre les ransomwares. Dans le cas de Sophos, il est essentiel que les clients activent leur politique CryptoGuard, ce sur quoi le support peut les guider.
Conclusion
Le cheminement des attaquants de Money Message vers l’exfiltration est conforme à une chaîne MITRE ATT&CK assez typique, comme nous l’avons montré ci-dessus. Bien que cet attaquant particulier tente de brouiller les pistes pour les défenseurs, une bonne défense – en particulier dans les premiers stades – peut fournir une boîte à outils efficace contre de mauvais résultats.
