Le nouveau groupe de ransomwares, suivi comme Water Pombero, cible les services de santé, de technologie et d’événements en Asie, en Europe et aux États-Unis.
Un nouvel acteur de menace, Bert, est devenu un groupe de ransomwares en évolution rapide qui a rapidement élargi son activité à travers l’Asie, l’Europe et les États-Unis. Découvert en avril, Bert cible les systèmes Windows et Linux.
Suivi par Trend Micro comme «Water Pombero», le groupe cible les secteurs d’infrastructures critiques tels que les services de santé, la technologie et les services d’événements.
Lors du ciblage des variantes Windows, le groupe Ransomware Bert utilise une structure de code simple en utilisant des chaînes spécifiques pour correspondre et mettre fin à certains processus. Au cours de la Micro Investigation Trend, la société a découvert un script PowerShell qui fonctionne comme un chargeur pour la charge utile des ransomwares Bert.
Le script dégénère les privilèges, désactive Windows Defender, le pare-feu et le contrôle du compte utilisateur, puis télécharge et exécute le ransomware à partir de l’adresse IP distante 185 (.) 100 (.) 157 (.) 74. Cependant, la méthode d’accès initiale exacte reste claire, a déclaré Trend Micro dans un article de blog.
Sur les systèmes Linux, Bert utilise 50 threads simultanés pour maximiser la vitesse de chiffrement, lui permettant de crypter rapidement les fichiers à travers le système tout en minimisant les chances de détection ou d’interruption. Plus particulièrement, il peut arrêter les machines virtuelles ESXi, a déclaré Trend Micro.
Un réveil
Bert ne déploie pas de code sophistiqué, mais les outils et les tactiques du groupe sont conçus pour la vitesse et l’impact, ce qui en fait une préoccupation croissante pour les professionnels de la sécurité dans le monde entier.
«Bert exploite des mots de passe faibles, une mauvaise protection des paramètres, un accès excessif à l’administrateur, un manque de surveillance et des sauvegardes non sécurisées. Il désactive les défenses, se déplace rapidement et peut même cibler les machines virtuelles, rendant la récupération plus difficile», a déclaré Pareekh Jain, PDG de Eiirtrend & Pareekh Consulting. Bert Ransomware est dangereux malgré sa simplicité car il est rapide, désactive les outils de sécurité et les pare-feu, et est facile à utiliser pour les attaquants. Ses créateurs l’améliorent constamment, ce qui le rend plus difficile à détecter et à s’arrêter, a-t-il ajouté.
«Les équipes de sécurité devraient surveiller de près les séances PowerShell qui tentent de télécharger du code distant ou de désactiver les outils de sécurité, ainsi que tous les efforts de contournement de contrôle des comptes d’utilisateurs. L’activité autour des journaux ESXi et vCenter, en particulier les arrêt de la machine virtuelle en vrac, devrait soulever des drapeaux rouges immédiats. CANARY Fichiers, qui peut agir comme directeur général de Tripwires pour la détection précoce, sont également critiques.
Jaju a suggéré que les CISO devraient appliquer le mode linguistique contraint pour PowerShell, adopter des privilèges d’administration juste à temps, surveiller les API hyperviseurs pour un comportement inhabituel et mettre en œuvre des livres de jeu scriptés pour un confinement rapide, idéalement dans les 15 minutes suivant la détection.
Pour renforcer les défenses, les équipes SOC et les CISO doivent également supposer que les violations se produiront et se concentreront sur la détection et la réponse rapides. «Déployer la sécurité en couches comme EDR / XDR, la segmentation du réseau et les contrôles de privilèges stricts; appliquer l’application Autoriser la liste; maintenir les sauvegardes isolées et régulièrement testées; les vulnérabilités de patch rapidement; former les employés à la sensibilisation au phishing et à la menace; et à la mise en œuvre des exercices proactifs de la chasse aux menaces et des incidents», a ajouté Jain.
À faible code et à fort impact
Bert n’est pas un développement isolé – il fait partie d’une vague croissante de groupes de ransomwares émergents qui s’avèrent à la fois capables et insaisissables. Au cours des trois à quatre derniers mois, les chercheurs en cybersécurité ont identifié plusieurs nouvelles familles de ransomwares qui signalent un changement vers des opérations plus maigres, à faible code et plus rapides.
Par exemple, Gunra Ransomware, repéré en avril, ajoute une extension .encrt aux fichiers cryptés et abandonne une note de rançon nommée R3ADM3.tx dans plusieurs répertoires, et a prétendu cibler les secteurs de la fabrication de soins de santé, d’électronique et de boissons.
Silent Ransomware Group, connu pour ses e-mails de phishing de rappel, se faisant passer pour des entreprises bien connues qui offrent des plans d’abonnement, a changé de tactique en volant des données sensibles telles que les enregistrements clients, les numéros de téléphone, la propriété intellectuelle et les e-mails internes, et seulement pour déclencher une demande de rançon.
Les «Cisos affrontent désormais deux archétypes émergents de ransomwares: des« lanceurs bruyants »comme le groupe Gunra qui utilisent des routines multithreading et anti-récupération pour verrouiller les systèmes instantanément, et les` `siphonnes silencieuses» comme le groupe de ransom silencieux qui évitent entièrement les groupes de malin. Après l’exécution », a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research.
Gogia a ajouté que cette évolution exige des défenses en couches qui hiérarchisent le confinement du rayon de souffle, la criminalistique des processus et la détection basée sur la tromperie. Les outils Legacy AV, EDR et périmètre ne peuvent à eux seuls suivre ce modèle modulaire et multi-variant d’exécution de la menace.
En savoir plus sur les ransomwares:
- Le ransomware le plus notoire et le plus dommageable de tous les temps
- L’état des ransomwares: fragmenté mais toujours puissant malgré les retraits
- Les gangs de ransomware de brouillard abusent de l’outil de surveillance des employés en attaque inhabituelle en plusieurs étapes
