{"id":25143,"date":"2024-09-12T09:04:07","date_gmt":"2024-09-12T17:04:07","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18873\/"},"modified":"2024-09-12T09:04:07","modified_gmt":"2024-09-12T17:04:07","slug":"news-18873","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18873\/","title":{"rendered":"Pr\u00e9sentation du groupe de ransomware appel\u00e9 “Mad Liberator”"},"content":{"rendered":"

Credit to Author: Nicolas Pommier| Date: Tue, 20 Aug 2024 15:03:08 +0000<\/strong><\/p>\n

\n

L\u2019\u00e9quipe Sophos X-Ops Incident Response<\/a> a examin\u00e9 les tactiques d\u2019un groupe de ransomware appel\u00e9 Mad Liberator<\/em>.\u00a0 Il s\u2019agit d\u2019un acteur malveillant relativement nouveau, apparu pour la premi\u00e8re fois \u00e0 la mi-juillet 2024. Dans cet article, nous examinerons certaines techniques utilis\u00e9es par le groupe, impliquant la populaire application d’acc\u00e8s \u00e0 distance Anydesk. Nous documenterons les tactiques d\u2019ing\u00e9nierie sociale int\u00e9ressantes utilis\u00e9es par celui-ci et fournirons des conseils sur la mani\u00e8re de minimiser votre risque de devenir une victime et, pour les investigateurs, de d\u00e9tecter l\u2019activit\u00e9 potentielle de ce dernier.<\/p>\n

Avant de commencer, nous devons noter qu’Anydesk est un logiciel l\u00e9gitime utilis\u00e9 de mani\u00e8re abuse par les attaquants dans le cas que nous allons vous pr\u00e9senter. En effet, ces derniers utilisent cette application de mani\u00e8re malveillante et nous d\u00e9taillerons ci-dessous comment ils proc\u00e8dent, mais il est probable que n\u2019importe quel programme d\u2019acc\u00e8s \u00e0 distance parviendrait \u00e0 servir leurs objectifs. Nous vous signalons \u00e9galement que les SophosLabs ont mis en place une d\u00e9tection, Troj\/FakeUpd-K<\/strong>, pour le binaire en question.<\/p>\n

Pr\u00e9sentation de Mad Liberator<\/h2>\n

L’activit\u00e9 observ\u00e9e par Sophos X-Ops jusqu’\u00e0 pr\u00e9sent indique que Mad Liberator<\/strong> se concentre sur l’exfiltration de donn\u00e9es : d’apr\u00e8s notre propre exp\u00e9rience, nous n’avons encore vu aucun incident utilisant le chiffrement de donn\u00e9es dans lequel Mad Liberator <\/em>\u00e9tait impliqu\u00e9. N\u00e9anmoins, les informations sur watchguard.com<\/a> sugg\u00e8rent que le groupe utilise le chiffrement de temps en temps et se livre \u00e9galement \u00e0 de la double extorsion (vol de donn\u00e9es, puis chiffrement des syst\u00e8mes de la victime et enfin menace de divulgation des donn\u00e9es vol\u00e9es si la victime ne paie pas pour le d\u00e9chiffrement).<\/p>\n

Comme la plupart des acteurs malveillants qui effectuent des exfiltrations de donn\u00e9es, Mad Liberator<\/strong> exploite un site de fuite de donn\u00e9es sur lequel il publie les informations d\u00e9taill\u00e9es des victimes, dans le but d’exercer une pression suppl\u00e9mentaire sur ces derni\u00e8res pour qu’elles paient. Le site affirme que les fichiers peuvent \u00eatre t\u00e9l\u00e9charg\u00e9s “gratuitement”.<\/p>\n

\"Mad<\/a><\/p>\n

Figure 1 : Site de divulgation de Mad Liberator.<\/em><\/p>\n

Il est int\u00e9ressant de noter que Mad Liberator<\/em> utilise des techniques d’ing\u00e9nierie sociale pour obtenir l’acc\u00e8s \u00e0 l’environnement, en ciblant les victimes qui utilisent des outils d’acc\u00e8s \u00e0 distance install\u00e9s sur les syst\u00e8mes endpoint et les serveurs. Anydesk, par exemple, est couramment utilis\u00e9 par les \u00e9quipes informatiques pour g\u00e9rer leurs environnements, en particulier lorsqu’elles travaillent avec des utilisateurs ou des appareils distants.<\/p>\n

Comment se d\u00e9roule l\u2019attaque\u00a0?<\/h2>\n

Anydesk fonctionne en attribuant un identifiant (ID) unique, en l’occurrence une adresse \u00e0 dix chiffres, \u00e0 chaque appareil sur lequel l’application est install\u00e9e.\u00a0 Une fois cette derni\u00e8re install\u00e9e sur un appareil, un utilisateur peut soit demander \u00e0 acc\u00e9der \u00e0 un appareil distant pour prendre le contr\u00f4le en saisissant l’ID, soit un utilisateur peut inviter un autre utilisateur \u00e0 prendre le contr\u00f4le de son appareil via une session \u00e0 distance.<\/p>\n

\"Mad<\/a><\/p>\n

Figure 2 : Une session Anydesk avec l’adresse \u00e0 dix chiffres affich\u00e9e de mani\u00e8re bien visible.<\/em><\/p>\n

Nous ne savons pas \u00e0 ce stade comment, ou bien si, l\u2019attaquant a cibl\u00e9 un identifiant Anydesk particulier. En th\u00e9orie, il est possible de simplement parcourir les adresses potentielles jusqu’\u00e0 ce qu’une personne accepte une demande de connexion ; cependant, avec potentiellement 10 milliards de nombres \u00e0 10 chiffres, cette approche semble quelque peu inefficace. Dans un cas investigu\u00e9 par l’\u00e9quipe Incident Response, nous n’avons trouv\u00e9 aucune indication d’un contact entre l’attaquant Mad Liberator<\/em> et la victime avant que cette derni\u00e8re ne re\u00e7oive une demande de connexion Anydesk non sollicit\u00e9e. L\u2019utilisateur n\u2019\u00e9tait pas un membre du personnel haut plac\u00e9 ou expos\u00e9 publiquement et il n\u2019y avait aucune raison \u00e9vidente pour qu\u2019il soit sp\u00e9cifiquement cibl\u00e9.<\/p>\n

Lorsqu’une demande de connexion Anydesk est re\u00e7ue, l’utilisateur voit la fen\u00eatre contextuelle affich\u00e9e dans la figure 3. L’utilisateur doit alors autoriser la connexion avant qu’elle puisse \u00eatre compl\u00e8tement \u00e9tablie.<\/p>\n

\"Mad<\/a><\/p>\n

Figure 3 : Une demande \u00e9manant d\u2019une personne d\u00e9nomm\u00e9e “User (Utilisateur)” pour se connecter via Anydesk ; comme les administrateurs d’Anydesk le savent, mais pas forc\u00e9ment les utilisateurs finaux, n’importe qui peut choisir n’importe quel nom d’utilisateur lors de la configuration d’Anydesk, de sorte qu’un attaquant pourrait m\u00eame s’appeler “Support technique” ou bien utiliser une appellation similaire.<\/em><\/p>\n

Dans le cas trait\u00e9 par notre \u00e9quipe IR, la victime savait qu\u2019Anydesk \u00e9tait utilis\u00e9 par le service informatique de son entreprise. Elle a donc consid\u00e9r\u00e9 que la demande de connexion entrante n’\u00e9tait qu’une instance habituelle d’une maintenance effectu\u00e9e par le service informatique et a donc cliqu\u00e9 sur “Accept (Accepter)<\/em>“.<\/p>\n

Une fois la connexion \u00e9tablie, l\u2019attaquant a transf\u00e9r\u00e9 un binaire sur l\u2019appareil de la victime et l\u2019a ex\u00e9cut\u00e9.\u00a0 Dans nos investigations, ce fichier a \u00e9t\u00e9 intitul\u00e9 “Microsoft Windows Update<\/em>“, avec le hachage SHA256 suivant :<\/p>\n

\n

f4b9207ab2ea98774819892f11b412cb63f4e7fb4008ca9f9a59abc2440056fe<\/p>\n<\/blockquote>\n

Ce binaire \u00e9tait un programme tr\u00e8s simple qui affichait un \u00e9cran de d\u00e9marrage imitant un \u00e9cran Windows Update<\/em>. L’\u00e9cran \u00e9tait anim\u00e9, donnant l’impression que le syst\u00e8me \u00e9tait en cours de mise \u00e0 jour, comme le montre la figure 4.<\/p>\n

\"Mad<\/a><\/p>\n

Figure\u00a04\u00a0: Un \u00e9cran Windows Update bien trop banal\u2026 n\u2019est-ce pas ?<\/em><\/p>\n

Ce programme n’effectuait aucune autre activit\u00e9, ce qui rendait peu probable qu’il soit imm\u00e9diatement d\u00e9tect\u00e9 comme malveillant par la plupart des packages anti-malware (Sophos a d\u00e9velopp\u00e9 une d\u00e9tection [Troj\/FakeUpd-K]<\/strong> pour ce binaire particulier et continuera \u00e0 surveiller les d\u00e9veloppements \u00e0 son sujet).<\/p>\n

\u00c0 ce stade, pour emp\u00eacher que la ruse ne soit d\u00e9couverte et stopp\u00e9e, l\u2019attaquant a pris une mesure suppl\u00e9mentaire. \u00c9tant donn\u00e9 que ce programme simple aurait pu \u00eatre ferm\u00e9 si l’utilisateur avait appuy\u00e9 sur la touche “\u00c9chap<\/em>“, ce dernier a utilis\u00e9 une fonctionnalit\u00e9 d’Anydesk pour d\u00e9sactiver la saisie \u00e0 partir du clavier et de la souris de l’utilisateur.<\/p>\n

\u00c9tant donn\u00e9 que la victime n’\u00e9tait plus en mesure d’utiliser son clavier et que l’\u00e9cran ci-dessus semblait afficher une activit\u00e9 inoffensive pour tout utilisateur Windows, elle n’\u00e9tait donc pas au courant des actions que l’attaquant lan\u00e7ait en arri\u00e8re-plan, et elle n’aurait m\u00eame pas pu les stopper facilement si ces derni\u00e8res s\u2019\u00e9taient av\u00e9r\u00e9es suspectes.<\/p>\n

L\u2019attaquant a ensuite acc\u00e9d\u00e9 au compte OneDrive de la victime, qui \u00e9tait li\u00e9 \u00e0 l\u2019appareil, ainsi qu\u2019aux fichiers stock\u00e9s sur un serveur central et accessibles via un partage r\u00e9seau mapp\u00e9.\u00a0 \u00c0 l’aide de la fonction Anydesk FileTransfer<\/em>, l’attaquant a vol\u00e9 et exfiltr\u00e9 ces fichiers hors de l’entreprise.\u00a0 Ce dernier a ensuite utilis\u00e9 Advanced IP Scanner<\/em> pour d\u00e9terminer s’il existait d’autres appareils int\u00e9ressants qui pouvaient \u00eatre exploit\u00e9s dans le m\u00eame sous-r\u00e9seau (en fait, il ne s\u2019est pas d\u00e9plac\u00e9 lat\u00e9ralement vers d\u2019autres appareils).<\/p>\n

Une fois les fichiers vol\u00e9s et sous son contr\u00f4le, l\u2019attaquant a ensuite ex\u00e9cut\u00e9 un autre programme qui a cr\u00e9\u00e9 de nombreuses demandes de ran\u00e7on. Il est int\u00e9ressant de noter que ces demandes de ran\u00e7on ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9es \u00e0 plusieurs endroits diff\u00e9rents au niveau d\u2019un r\u00e9seau partag\u00e9 qui \u00e9tait mapp\u00e9 sur l\u2019appareil, plut\u00f4t que sur l\u2019appareil de la victime lui-m\u00eame.\u00a0 Ces demandes de ran\u00e7on informaient que des donn\u00e9es avaient \u00e9t\u00e9 vol\u00e9es et fournissaient des d\u00e9tails sur la mani\u00e8re avec laquelle la victime devait payer la ran\u00e7on pour emp\u00eacher la divulgation de ces fichiers (de telles tactiques ne sont que trop famili\u00e8res pour les lecteurs de notre enqu\u00eate sur les tactiques de pression<\/a> actuellement utilis\u00e9es par les gangs de ransomware).<\/p>\n

\"Mad<\/a><\/p>\n

Figure 5 : La demande de ran\u00e7on re\u00e7ue par la victime ; notez bien les menaces concernant une potentielle atteinte \u00e0 la r\u00e9putation et un \u00e9ventuel non respect de la r\u00e9glementation, et notez \u00e9galement qu’aucun montant de ran\u00e7on n’est mentionn\u00e9.<\/em><\/p>\n

Le faux \u00e9cran Windows Update<\/em> a emp\u00each\u00e9 les actions de l\u2019attaquant d\u2019\u00eatre visibles au niveau de l\u2019\u00e9cran de la victime. L’attaque a dur\u00e9 pr\u00e8s de quatre heures, \u00e0 l’issue desquelles l’attaquant a ferm\u00e9 le faux \u00e9cran de mise \u00e0 jour et mis fin \u00e0 la session Anydesk, redonnant ainsi le contr\u00f4le de l’appareil \u00e0 la victime. Nous avons not\u00e9 que le binaire \u00e9tait d\u00e9clench\u00e9 manuellement par l’attaquant ; sans t\u00e2che planifi\u00e9e ni automatisation en place pour l’ex\u00e9cuter \u00e0 nouveau une fois l’acteur malveillant parti, le fichier est simplement rest\u00e9 sur le syst\u00e8me concern\u00e9.<\/p>\n

Le\u00e7ons apprises et mesures de mitigation<\/h2>\n

Il s\u2019agissait d\u2019une attaque simple qui reposait sur le fait que la victime pensait que la requ\u00eate Anydesk faisait partie de son activit\u00e9 quotidienne. D\u2019apr\u00e8s nos investigateurs, l\u2019attaque n\u2019a impliqu\u00e9 aucun effort suppl\u00e9mentaire en mati\u00e8re d\u2019ing\u00e9nierie sociale de la part de l\u2019attaquant : aucun contact par email, aucune tentative de phishing, etc. En tant que tel, cet exemple souligne l’importance d’une formation continue et d\u2019une mise \u00e0 jour constante du personnel et indique que les organisations doivent d\u00e9finir et diffuser une politique claire concernant la mani\u00e8re avec laquelle les services informatiques vous contacteront et organiseront des sessions \u00e0 distance.<\/p>\n

Au-del\u00e0 de la formation des utilisateurs, nous recommandons fortement aux administrateurs de mettre en \u0153uvre les listes de contr\u00f4le d’acc\u00e8s Anydesk pour autoriser uniquement les connexions \u00e0 partir d’appareils sp\u00e9cifiques afin de minimiser consid\u00e9rablement le risque de ce type d’attaque. AnyDesk fournit des conseils tr\u00e8s pr\u00e9cieux sur la mani\u00e8re de proc\u00e9der, ainsi que des mesures de s\u00e9curit\u00e9 dans le lien suivant :<\/p>\n