Cela fait plus de dix ans maintenant que
Andariel opère au sein du tristement célèbre groupe Lazarus, et en 2022, le
groupe a continué à étendre son arsenal de logiciels malveillants et la portée
de ses attaques. Les chercheurs de Kaspersky ont d’ailleurs récemment identifié
un incident intéressant au Japon impliquant le ransomware Maui, jusqu’ici
inconnu. Comme l’a rapporté le CISA en juillet 2022, Andariel a touché des organismes publics et des
établissements de santé avec ce nouveau ransomware. Suite à leurs recherches,
les experts de Kaspersky ont dévoilé une analyse approfondie du groupe APT.
Cette analyse montre qu'Andariel a déployé un
malware DTrack bien connu, qui exécute un shellcode intégré, chargeant une
charge utile finale Windows en mémoire. Selon Kaspersky Threat Attribution Engine, ce spyware aurait été créé par le groupe
Lazarus et est utilisé pour importer des fichiers sur les ordinateurs de ses
victimes, enregistrer les frappes au clavier et effectuer les activités
auxquels les outils d'administration à distance (RAT) malveillant nous ont
habitué. DTrack collecte des informations sur le serveur et l'historique du
navigateur via des commandes Windows. Il est intéressant de noter que le
malware peut être présent dans les réseaux ciblés pendant des mois avant que
les activités malveillantes ne soient initiées.
Le nouveau maliciel utilisé par Andariel en 2021
et 2022 a été baptisé Maui ransomware. Kaspersky a pu identifier son lancement
après le déploiement de DTrack visant une organisation. Maui a été employé dans
des attaques à de multiples occasions, ciblant principalement des entreprises
aux États-Unis et au Japon. Les experts de Kaspersky ont pu déterminer que
l'acteur à l’origine des attaques Andariel est opportuniste et qu'il peut
compromettre n'importe quelle entreprise dans le monde, toute activité
confondues, en valorisant cependant les cibles ayant une bonne réputation
financière.
"Nous suivons le groupe APT Andariel
depuis des années, et nous constatons que ses attaques sont en constante
évolution. Ce qui requiert notre attention particulière aujourd’hui, c'est que
le groupe commence à déployer ses ransomwares à l'échelle mondiale,démontrant
des motivations financières grandissantes", commente Kurt
Baumgartner, expert en sécurité chez Kaspersky.
Pour en savoir plus sur Maui ransomware et les
autres logiciels malveillants utilisés par Andariel, lisez le rapport sur Securelist.com.
Pour vous protéger et protéger votre entreprise
contre les rançongiciels, pensez à suivre les recommandations suivantes de
Kaspersky :
- N'exposez pas les services de bureau à distance (tels
que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité
absolue, et utilisez toujours des mots de passe forts pour ces services.
- Installez rapidement les correctifs disponibles pour
les solutions VPN commerciales, fournissant un accès aux employés en
télétravail et agissant comme des passerelles dans votre réseau.
- Maintenez toujours les logiciels à jour sur tous les
appareils que vous utilisez pour empêcher les ransomwares d'exploiter les
vulnérabilités.
- Concentrez votre stratégie de défense sur la détection
des mouvements latéraux et l'exfiltration de données vers Internet. Portez
une attention particulière au trafic sortant pour détecter les tentatives
de connexion des cybercriminels.
- Sauvegardez régulièrement vos données. Assurez-vous de
pouvoir y accéder rapidement en cas d'urgence.
- Utilisez des solutions telles que Kaspersky Endpoint Detection and Response
Expert et Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper les
attaques à leurs débuts, avant que les pirates n'atteignent leurs
objectifs.
- Pour protéger votre environnement d’entreprise, formez
vos employés. Des cours de formation dédiés, tels que ceux proposés par la
Kaspersky Automated Security Awareness
Platform, peuvent vous y aider.
- Utilisez une solution de sécurité des points
d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des attaques, une détection
des comportements inhabituels et un moteur de restauration capable
d'annuler les activités malveillantes. KESB dispose également de
mécanismes d'auto-défense, qui peuvent empêcher sa suppression par les
cybercriminels.
- Consultez les derniers renseignements sur la Threat Intelligence pour rester au courant des tactiques, techniques et
procédures (TTP) réellement utilisées par les acteurs de la menace. Le
portail Kaspersky Threat Intelligence est un point d’accès unique de
renseignements sur les menaces, fournissant des données sur les
cyberattaques et des informations recueillies par notre équipe depuis plus
de 25 ans. Afin d'aider les entreprises à mettre en place des défenses
efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit
à des informations indépendantes, mises à jour continuellement, et
provenant du monde entier sur les cyberattaques et les menaces en cours.
Demandez l'accès à cette offre ici.
Andariel, un sous-groupe de Lazarus, étend ses attaques avec un nouveau ransomware
KasperskyLes experts de Kaspersky ont découvert de nouvelles attaques menées par Andariel, un sous-groupe de menaces persistantes avancées (APT) de Lazarus, connu pour ses campagnes en Corée du Sud. Les cybercriminels ont eu recours à une version modifiée du malware DTrack, qu’on ne présente plus, ainsi qu’à un tout nouveau ransomware, Maui. Leurs attaques ont visé des organisations de premier plan aux États-Unis, au Japon, en Inde, au Vietnam et en Russie.