Symantec (filiale de Broadcom) parle d'une vague de cyberattaques à l'encontre d'entreprises américaines et dont l'objectif est d'essayer de déployer le ransomware WastedLocker sur leurs réseaux informatiques.
Au moins une trentaine de cibles aux États-Unis ont été identifiées. Une poignée d'entre elles figurent dans le Fortune 500 qui est le classement des 500 premières entreprises américaines en fonction de leur chiffre d'affaires.
Selon Symantec, les attaques s'appuient sur un framework JavaScript malveillant (SocGholish) contenu dans une archive compressée et se faisant passer pour une mise à jour logicielle. Avec l'accès au réseau de la victime, les attaquants utilisent un malware CobaltStrike pour voler des identifiants, élever des privilèges et tenter de déployer WastedLocker sur autant de machines que possible.
Avant ce déploiement, la protection Windows Defender est désactivée sur le réseau via des outils et scripts PowerShell rapatriés depuis des serveurs contrôlés par les attaquants. Le ransomware WastedLocker est lancé grâce à PsExec de Windows Sysinternals pour chiffrer des données et supprimer des volumes de sauvegarde.
#WastedLocker - Symantec Identifies Wave of Attacks Against Dozens of U.S. Organizations; eight Fortune 500 countries among those targeted by attackers. Read more in our blog: https://t.co/28E9iNIBMD #infosec #ransomware
— Threat Intelligence (@threatintel) June 25, 2020
Pour Symantec, WastedLocker est un ransomware très dangereux. " Une attaque réussie pourrait paralyser le réseau de la victime, ce qui entraînerait une perturbation importante de ses activités et une opération de nettoyage coûteuse. "
Des attaques ont été détectées de manière proactive sur plusieurs réseaux tirant parti de la solution cloud Targeted Attack Analytics de Symantec. WastedLocker a été attribué au groupe Evil Corp qui avait déjà été associé au malware bancaire Dridex et au ransomware BitPaymer.
Et si ce nom de Evil Corp n'est pas étranger (au-delà de la référence à la série Mr. Robot), c'est parce qu'en décembre dernier, les États-Unis ont inculpé deux ressortissants russes pour leur participation à des opérations impliquant ce groupe.
L'un d'eux serait le leader d'Evil Corp et pour toute information menant à son arrestation, le département d'État des USA offre une très grosse récompense de jusqu'à 5 millions de dollars. Evil Corp serait lié aux services de renseignement russes.