Le groupe Lazarus s\u2019est toujours diff\u00e9renci\u00e9 par l\u2019utilisation de m\u00e9thodes propres aux attaques APT et une sp\u00e9cialisation dans la cybercriminalit\u00e9 financi\u00e8re. Nos experts ont r\u00e9cemment d\u00e9tect\u00e9 un tout nouveau malware, VHD, jusqu\u2019alors inexplor\u00e9 et dont Lazarus semble se servir pour faire des essais.<\/p>\n
Sur\u00a0le\u00a0plan fonctionnel, VHD est un outil de ransomware assez standard. Il utilise les p\u00e9riph\u00e9riques connect\u00e9s \u00e0 l\u2019ordinateur de la victime pour se faufiler, chiffre les fichiers et supprime le dossier System Volume Information ce qui sabote les tentatives de Restauration du syst\u00e8me sous Windows. Il peut \u00e9galement suspendre les processus qui pourraient prot\u00e9ger les fichiers d\u2019une quelconque modification (comme Microsoft Exchange ou SQL Server).<\/p>\n
L\u2019aspect le plus int\u00e9ressant est comment VHD aborde les ordinateurs pris pour cible puisque ses m\u00e9canismes de livraison ressemblent plus aux attaques APT. Nos experts ont r\u00e9cemment \u00e9tudi\u00e9 quelques cas de VHD et ont analys\u00e9 les actions des cybercriminels dans chacun d\u2019entre eux.<\/p>\n
Lors du premier incident, le code malveillant responsable de la propagation de VHD sur le r\u00e9seau cible a attir\u00e9 l\u2019attention de nos experts. Il s\u2019av\u00e8re que le ransomware dispose de listes qui contiennent les adresses IP des ordinateurs des victimes, ainsi que les identifiants des comptes ayant des droits d\u2019administrateur. Ces donn\u00e9es ont \u00e9t\u00e9 exploit\u00e9es pour perp\u00e9trer des attaques par force brute sur le service SMB. Si le malware r\u00e9ussit \u00e0 se connecter au dossier r\u00e9seau d\u2019un autre ordinateur gr\u00e2ce au protocole SMB, il se copie, s\u2019ex\u00e9cute et chiffre la machine.<\/p>\n
Ce comportement n\u2019est pas propre aux ransomwares de masse. Cela implique au minimum une reconnaissance pr\u00e9liminaire de l\u2019infrastructure de la victime, ce qui est plus caract\u00e9ristique des campagnes APT.<\/p>\n
Lorsque notre Global Emergency Response Team a \u00e0 nouveau rencontr\u00e9 ce ransomware au cours d\u2019une \u00e9tude, les chercheurs ont pu remonter toute la cha\u00eene d\u2019infection. Comme ils l\u2019ont signal\u00e9, les cybercriminels\u00a0:<\/p>\n
Une analyse plus approfondie des outils utilis\u00e9s a r\u00e9v\u00e9l\u00e9 que la porte d\u00e9rob\u00e9e faisait partie du cadre de multi-plateformes MATA<\/a> (que certains coll\u00e8gues appellent Dacls). Nous en avons conclu qu\u2019il s\u2019agit d\u2019un autre outil de Lazarus.<\/p>\n Vous trouverez une analyse technique d\u00e9taill\u00e9e de ces outils et d\u2019autres les indicateurs de compromissions dans l\u2019article que nous avons publi\u00e9 \u00e0 ce sujet sur notre blog Securelist<\/a>.<\/p>\n Les acteurs du ransomware VHD sont clairement sup\u00e9rieurs \u00e0 la moyenne lorsqu\u2019il s\u2019agit d\u2019infecter des ordinateurs professionnels avec un outil de chiffrement. Le malware n\u2019est g\u00e9n\u00e9ralement pas disponible sur les forums de pirates informatiques. Il est plut\u00f4t sp\u00e9cifiquement d\u00e9velopp\u00e9 pour des attaques cibl\u00e9es. Les techniques utilis\u00e9es pour p\u00e9n\u00e9trer dans l\u2019infrastructure de la victime et se propager au sein du r\u00e9seau exigent l\u2019utilisation d\u2019attaques APT sophistiqu\u00e9es.<\/p>\n La disparition progressive des limites entre les outils de cybercriminalit\u00e9 financi\u00e8re et les attaques APT d\u00e9montre que m\u00eame les entreprises les plus petites doivent envisager d\u2019utiliser des technologies de s\u00e9curit\u00e9 plus avanc\u00e9es. C\u2019est dans ce contexte que nous avons r\u00e9cemment d\u00e9voil\u00e9 une solution int\u00e9gr\u00e9e et \u00e9quip\u00e9e de deux fonctions cl\u00e9s\u00a0: plateforme de protection des postes de travail (EPP) et Endpoint Detection and Response<\/em> (EDR). Vous pouvez consulter la page consacr\u00e9e<\/a> \u00e0 cette solution pour obtenir plus de renseignements.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Le groupe de cybercriminels Lazarus utilise des m\u00e9thodes traditionnelles d\u2019attaques APT pour distribuer le ransomware VHD.<\/p>\n","protected":false},"author":700,"featured_media":15385,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[1135,2794,353],"class_list":{"0":"post-15384","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-attaques-ciblees","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15384","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15384"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15384\/revisions"}],"predecessor-version":[{"id":15389,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15384\/revisions\/15389"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15385"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15384"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15384"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15384"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Comment prot\u00e9ger votre entreprise<\/h2>\n