Les Whitehats utilisent des attaques DoS pour arrêter les campagnes de ransomware, bien que temporairement

Un diagramme montrant comment un déni de service met fin à une campagne de ransomware en cours d'exécution.
agrandir / Un diagramme montrant comment un déni de service met fin à une campagne de ransomware en cours d'exécution.

Whitehats a utilisé un nouveau piratage de déni de service pour gagner une victoire importante sur les criminels ransomware. Malheureusement, les blackhats ont dû mettre à jour leur infrastructure et laisser la bataille sans vainqueur.

Les chercheurs de la société de sécurité Intezer ont mis en œuvre la technique DoS contre le ransomware QNAPCrypt, une souche largement méconnue qui, comme son nom l’indique, infecte les périphériques de stockage réseau du fabricant taïwanais QNAP Systems et éventuellement d’autres fabricants. Le piratage s'est propagé en tirant parti des connexions sécurisées (ou SSH) utilisant des mots de passe faibles. L’analyse des chercheurs a révélé que chaque victime recevait un portefeuille Bitcoin unique pour l’envoi d’une rançon, une mesure susceptible d’empêcher la persécution des assaillants. L'analyse a également révélé que QNAPCrypt chiffre uniquement les périphériques après avoir reçu l'adresse du portefeuille et une clé RSA publique du serveur de commande et de contrôle.

Les chercheurs d'Intezer ont rapidement découvert deux faiblesses majeures dans ce processus:

  1. La liste des portefeuilles Bitcoin a été créée à l’avance et était statique, ce qui signifie qu’un nombre limité de bourses étaient disponibles.
  2. L'infrastructure des attaquants ne s'est pas authentifiée auprès des périphériques connectés et prétendument infectés

Les faiblesses ont permis aux chercheurs d'écrire un script capable d'émuler un nombre illimité d'infections simulées. Après avoir simulé les infections de près de 1 100 appareils de 15 campagnes différentes, les Whitehats ont épuisé la réserve de portefeuilles Bitcoin uniques générés auparavant par les attaquants. En conséquence, les campagnes ont été interrompues car les périphériques ne sont cryptés qu'après avoir reçu le portefeuille. L'image ci-dessus montre comment le DoS a fonctionné.

"Les attaquants (et les développeurs de logiciels malveillants) sont finalement comme tout autre développeur et ont parfois des défauts de conception, comme dans ce cas", a écrit Ari Eitan, directeur de la recherche d'Intezer, dans un courrier électronique. "Nous l'avons utilisé comme défenseur. Pour autant que nous sachions, personne n’a déjà effectué une telle opération de déni de service. "

L'empire riposte

Les développeurs du logiciel de ransomware ont ensuite mis à jour leur code pour inclure les portefeuilles et la clé RSA dans le fichier exécutable envoyé aux ordinateurs cibles. Cette charge utile "sans connexion", comme l'appelaient les chercheurs d'Intezer, permettait aux assaillants de vaincre le DoS, mais cela avait un prix: ils devaient se retirer de leurs campagnes précédentes.

Alors que les opérateurs de QNAPCrypt ont survécu un autre jour, les Whitehats ont une autre petite victoire. L'implant mis à jour a presque le même code que Linux.Rex, une souche de ransomware découverte en 2016 qui infecte les serveurs Drupal lors des opérations de ransomware et de DDoS. Cela donnera à Intezer et aux autres défenseurs de nouvelles idées pour mieux lutter contre le fardeau des ransomwares qui n’a pas été détecté jusqu’à présent. Intezer a plus de détails ici.

Les Whitehats utilisent des attaques DoS pour arrêter les campagnes de ransomware, bien que temporairement
4.9 (98%) 32 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *