Andariel, un sous-groupe de Lazarus, étend ses attaques avec un nouveau ransomware
Les experts de Kaspersky ont découvert de nouvelles attaques menées par Andariel, un sous-groupe de menaces persistantes avancées (APT) de Lazarus, connu pour ses campagnes en Corée du Sud. Les cybercriminels ont eu recours à une version modifiée du malware DTrack, qu’on ne présente plus, ainsi qu’à un tout nouveau ransomware, Maui. Leurs attaques ont visé des organisations de premier plan aux États-Unis, au Japon, en Inde, au Vietnam et en Russie.
Cela fait plus de dix ans maintenant que Andariel opère au sein du tristement célèbre groupe Lazarus, et en 2022, le groupe a continué à étendre son arsenal de logiciels malveillants et la portée de ses attaques. Les chercheurs de Kaspersky ont d’ailleurs récemment identifié un incident intéressant au Japon impliquant le ransomware Maui, jusqu’ici inconnu. Comme l’a rapporté le CISA en juillet 2022, Andariel a touché des organismes publics et des établissements de santé avec ce nouveau ransomware. Suite à leurs recherches, les experts de Kaspersky ont dévoilé une analyse approfondie du groupe APT.
Cette analyse montre qu'Andariel a déployé un malware DTrack bien connu, qui exécute un shellcode intégré, chargeant une charge utile finale Windows en mémoire. Selon Kaspersky Threat Attribution Engine, ce spyware aurait été créé par le groupe Lazarus et est utilisé pour importer des fichiers sur les ordinateurs de ses victimes, enregistrer les frappes au clavier et effectuer les activités auxquels les outils d'administration à distance (RAT) malveillant nous ont habitué. DTrack collecte des informations sur le serveur et l'historique du navigateur via des commandes Windows. Il est intéressant de noter que le malware peut être présent dans les réseaux ciblés pendant des mois avant que les activités malveillantes ne soient initiées.
Le nouveau maliciel utilisé par Andariel en 2021 et 2022 a été baptisé Maui ransomware. Kaspersky a pu identifier son lancement après le déploiement de DTrack visant une organisation. Maui a été employé dans des attaques à de multiples occasions, ciblant principalement des entreprises aux États-Unis et au Japon. Les experts de Kaspersky ont pu déterminer que l'acteur à l’origine des attaques Andariel est opportuniste et qu'il peut compromettre n'importe quelle entreprise dans le monde, toute activité confondues, en valorisant cependant les cibles ayant une bonne réputation financière.
"Nous suivons le groupe APT Andariel depuis des années, et nous constatons que ses attaques sont en constante évolution. Ce qui requiert notre attention particulière aujourd’hui, c'est que le groupe commence à déployer ses ransomwares à l'échelle mondiale,démontrant des motivations financières grandissantes", commente Kurt Baumgartner, expert en sécurité chez Kaspersky.
Pour en savoir plus sur Maui ransomware et les autres logiciels malveillants utilisés par Andariel, lisez le rapport sur Securelist.com.
Pour vous protéger et protéger votre entreprise contre les rançongiciels, pensez à suivre les recommandations suivantes de Kaspersky :
- N'exposez pas les services de bureau à distance (tels que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
- Installez rapidement les correctifs disponibles pour les solutions VPN commerciales, fournissant un accès aux employés en télétravail et agissant comme des passerelles dans votre réseau.
- Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les ransomwares d'exploiter les vulnérabilités.
- Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les tentatives de connexion des cybercriminels.
- Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d'urgence.
- Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper les attaques à leurs débuts, avant que les pirates n'atteignent leurs objectifs.
- Pour protéger votre environnement d’entreprise, formez vos employés. Des cours de formation dédiés, tels que ceux proposés par la Kaspersky Automated Security Awareness Platform, peuvent vous y aider.
- Utilisez une solution de sécurité des points d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des attaques, une détection des comportements inhabituels et un moteur de restauration capable d'annuler les activités malveillantes. KESB dispose également de mécanismes d'auto-défense, qui peuvent empêcher sa suppression par les cybercriminels.
- Consultez les derniers renseignements sur la Threat Intelligence pour rester au courant des tactiques, techniques et procédures (TTP) réellement utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique de renseignements sur les menaces, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 25 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour continuellement, et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.
Andariel, un sous-groupe de Lazarus, étend ses attaques avec un nouveau ransomware
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >