Titre: Embargo, nouveau rançongiciel, désactive les solutions de sécurité, selon une étude d'ESET (23/10/2024 Par cda)
Le 23 octobre 2024 — Les chercheurs d’ESET ont découvert un nouvel outil permettant de déployer le rançongiciel Embargo. Il s’agit d’un groupe relativement nouveau dans le monde des rançongiciels, observé pour la première fois par ESET en juin 2024.

La nouvelle boîte à outils d’Embargo se compose d’un chargeur et d’un outil de détection et de réponse aux points de terminaison (EDR), nommés respectivement par ESET MDeployer et MS4Killer. MS4Killer et ciblant uniquement les solutions de sécurité sélectionnées. Le malware exploite le mode sans échec et un pilote vulnérable pour désactiver les produits de sécurité sur la machine de la victime. Les deux outils sont écrits en Rust, le langage de prédilection du groupe pour développer ses rançongiciels.

En se basant sur son mode opératoire, Embargo semble être un groupe plein de ressources. Il installe sa propre infrastructure pour communiquer avec les victimes. De plus, le groupe fait pression sur les victimes pour qu’elles paient en utilisant une double extorsion : les opérateurs exfiltrent les données sensibles et menacent les victimes de les publier sur un site de fuite et de les crypter. Dans une interview avec un membre présumé du groupe, un représentant d’Embargo a mentionné un système de paiement de base pour les affiliés, ce qui suggère que le groupe fournit du RaaS (ransomware as a service). «La sophistication du groupe, l’existence d’un site de fuite typique et les déclarations du groupe, nous laissent supposer qu’Embargo opère effectivement comme un fournisseur de RaaS», déclare Jan Holman, le chercheur d’ESET qui, avec son collègue Tomáš Zvara, a analysé la menace.

Les différences entre les versions déployées, les bugs et les artefacts restants suggèrent que ces outils sont en plein développement. Embargo est toujours en train de construire sa marque et de s'établir comme un opérateur de rançongiciel de premier plan.

Le développement de chargeurs personnalisés et d'outils de suppression EDR est une tactique courante utilisée par de nombreux groupes de rançongiciels. Outre le fait que MDeployer et MS4Killer ont toujours été observés déployés ensemble, il y a d'autres liens entre eux. Les liens étroits entre les outils suggèrent que les deux sont développés par le même auteur et le développement actif de la boîte à outils suggère que l'acteur de la menace maîtrise Rust.

Avec MDeployer, l'acteur de la menace Embargo abuse du mode sans échec pour désactiver les solutions de sécurité. MS4Killer est un outil d'évasion de défense typique qui met fin aux actions des produits de sécurité à l'aide de la technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Dans cette technique, l'acteur abuse des pilotes de noyau vulnérables pour obtenir l'exécution de code au niveau du noyau. Les affiliés au rançongiciel intègrent souvent les outils BYOVD dans leur chaîne de compromission afin d’altérer les solutions de sécurité protégeant l'infrastructure contre les attaques. Après la désactivation du logiciel de sécurité, les affiliés peuvent exécuter la charge utile du rançongiciel sans se soucier si leur charge utile est détectée ou non.

L’objectif premier de la boîte à outils Embargo est de sécuriser le déploiement réussi de la charge utile du rançongiciel en désactivant la solution de sécurité dans l’infrastructure de la victime. Embargo y consacre beaucoup d’efforts en reproduisant la même fonctionnalité à différentes étapes de l’attaque. «Lors d’une intrusion active, nous avons observé la capacité des attaquants à adapter leurs outils à une solution de sécurité particulière », ajoute Tomáš Zvara, chercheur chez ESET.

Pour une analyse plus détaillée et technique des outils d’Embargo, consultez le dernier blog d’ESET Research “Embargo ransomware: Rock’n’Rust” sur WeLiveSecurity.com. Suivez ESET Research sur ESET Research on Twitter (today known as X) pour être informé des dernières nouvelles.
Retour