Un groupe de pirates iraniens débutants rançonne des entreprises avec Dharma

Spread the love
  • Yum

Un groupe de pirates iraniens débutants rançonne des entreprises avec Dharma

La société de cybersécurité Group-IB affirme avoir identifié un groupe de pirates informatiques peu qualifiés opérant à partir de l’Iran, qui a lancé des attaques contre des entreprises en Asie et a tenté de crypter leurs réseaux avec une version du ransomware Dharma.

Les attaques ont ciblé des entreprises situées en Russie, au Japon, en Chine et en Inde, d’après un rapport publié aujourd’hui par des chercheurs de Group-IB.

publicité

Des outils de piratage gratuits et publics

La société de sécurité décrit le groupe comme des « pirates débutants » en raison du faible niveau de sophistication et de la simplicité des tactiques et des outils utilisés lors des attaques.

Selon le rapport, le groupe n’a utilisé que des outils de piratage disponibles publiquement, soit en open source sur GitHub, soit téléchargés depuis des canaux de piratage de Telegram. Il s’agit notamment de Masscan, NLBrute, Advanced Port Scanner, Defender Control ou Your Uninstaller.

Toutes ces informations suggèrent que le groupe n’est pas capable de développer ses propres outils de piratage, ou qu’il ne possède pas (encore) les ressources monétaires pour acheter l’accès à des services de piratage privés et plus avancés. Même l’utilisation du ransomware Dharma est considérée aujourd’hui comme le signe d’un attaquant peu qualifié, principalement parce que le code source du logiciel de rançon a été mis en vente puis a fait l’objet d’une fuite en ligne au début de l’année, le rendant ainsi accessible à tous les nouveaux venus sans aucun coût de développement.

Le groupe a infiltré des entreprises via des terminaux RDP

Group-IB explique que ce gang de pirates a préféré cibler les terminaux RDP (Remote Desktop Protocol) pour infiltrer le réseau de ses cibles. Les terminaux RDP sont aujourd’hui le principal vecteur d’entrée dans les réseaux d’entreprise pour les gangs de ransomware, selon les rapports de plusieurs sociétés de cybersécurité, principalement en raison de la facilité d’identification de ces systèmes RDP et d’utilisation de la force brute pour récupérer les identifiants.

Group-IB ajoute que malgré des attaques contre des entreprises du secteur privé, le gang iranien n’a pas exigé de rançon de l’ordre de centaines de milliers ou de millions de dollars américains – ce qui est devenu la norme pour la plupart des attaques au ransomware aujourd’hui. Au lieu de cela, il a demandé de petites rançons, allant de 1 à 5 bitcoin (10 000 à 50 000 dollars), très probablement pour s’assurer qu’ils seront payés et qu’ils passeront inaperçus, tandis que les autorités se concentrent sur les plus grands gangs qui rançonnent les entreprises pour des millions.

Dans l’ensemble, ce groupe de « débutants » est très éloigné du tristement célèbre gang iranien en matière de ransomware : les opérateurs du rançongiciel SamSam.

Un changement dans l’univers des cyberattaques

SamSam désigne un groupe de pirates informatiques professionnels qui ont développé une souche de ransomware très avancée, qu’ils utilisaient pour cibler les grandes entreprises et les entités gouvernementales. Le groupe a fait des ravages aux Etats-Unis en 2018, avant de disparaître après que le ministère américain de la Justice a inculpé deux de ses membres en décembre 2018.

Cependant, même si ce nouveau groupe n’est pas aussi avancé et compétent que l’était SamSam, les entreprises ne doivent pas ignorer le risque qu’il représente. Depuis 2017-2018, l’écosystème de la cybercriminalité a évolué pour automatiser, simplifier et monétiser l’ensemble du processus d’infiltration des réseaux d’entreprise et de déploiement de ransomware. Alors qu’à cette époque, un groupe avait besoin de hackers talentueux pour réussir une attaque avec demande de rançon, aujourd’hui, même les groupes “débutants” comme ceux que présente l’enquête de Group-IB peuvent télécharger des outils de piratage et suivre des tutoriels partagés sur des forums de piratage pour orchestrer leurs propres attaques avec intrusion et demande de rançon, et ce en quelques jours.

Si certains experts en sécurité accusent la prolifération d’outils de piratage offensifs et de tutoriels de piratage, le véritable problème est entièrement imputable aux entreprises, dont beaucoup n’ont toujours pas atteint une hygiène de sécurité de base, comme la sécurisation des systèmes RDP exposés en ligne avec des mots de passe corrects, ou la mise en place de correctifs sur les serveurs et les équipements de réseau de pointe, laissant des trous flagrants que même des pirates peu qualifiés peuvent exploiter.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *