Le 2 juillet dernier est sortie l’information concernant la vaste attaque lancée par le gang de ransomware REvil contre les fournisseurs MSP et leurs clients dans le monde entier. Des milliers d’entreprises sont ainsi devenues des victimes potentielles du ransomware. A l’heure où l’on écrit ces lignes, les chercheurs de Kaspersky ont déjà identifiés plus de 5000 tentatives d’attaques en Europe ainsi qu’en Amérique du Nord et du Sud.
Une charge utile malveillante via un script PowerShel
REvil (aka Sodinokibi) est l’un des opérateurs de ransomware-as-a-service (RaaS) les plus prolifiques. Il est apparu pour la première fois en 2019 et a fait la Une à de nombreuses reprises ces derniers mois, notamment à cause de ses cibles et des sommes record des rançons perçues. Dans l’attaque la plus récente, REvil a infecté un fournisseur de logiciel de Gestion informatique pour les MSP, ce qui a eu pour effet d’affecter de nombreuses entreprises à travers le monde. Les attaquants ont déployé une charge utile malveillante via un script PowerShell qui, à son tour, a été vraisemblablement exécuté via le logiciel du fournisseur MSP.
Le script a désactivé les fonctionnalités de la protection Microsoft Defender for Endpoint et a ensuite décodé un exécutable malveillant qui comportait un système binaire Microsoft légitime, une ancienne version de la solution Microsoft Defender et une librairie malveillante contenant le ransomware REvil. En utilisant cette combinaison de composantes dans la machine, les attaquants ont été capables d’exploiter la technique DLL side-loading et d’attaquer un grand nombre d’organisations.
Plus de 5000 tentatives d’attaques dans 22 pays, selon Kasersky
En utilisant son service de Threat Intelligence, Kasersky a observé plus de 5000 tentatives d’attaques dans 22 pays, dont les plus touchés sont l’Italie (45,2% des tentatives d’attaques enregistrées), les USA (25,91%), la Colombie (14,83%), l’Allemagne (3,21%) et le Mexique (2,21%)
Kaspersky protège contre ces menaces et les détecte avec les appellations suivantes :
– UDS:DangerousObject.Multi.Generic
– Trojan-Ransom.Win32.Gen.gen
– Trojan-Ransom.Win32.Sodin.gen
– Trojan-Ransom.Win32.Convagent.gen
– PDM:Trojan.Win32.Generic