Attaques par ransomware Makop sur les entreprises indiennes : Livraison par GuLoader et élévation de privilèges
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le ransomware Makop, une souche de la famille Phobos, frappe les organisations en abusant des services Remote Desktop Protocol (RDP) exposés et utilise des utilitaires prêts à l’emploi pour la découverte, le mouvement latéral et l’élévation de privilèges. La campagne incorpore de nouveaux éléments, notamment le téléchargeur GuLoader et plusieurs exploits d’élévation de privilèges locaux. Les adversaires déploient le binaire du ransomware dans les répertoires utilisateur sous des noms de fichiers trompeurs. La menace cible principalement les entreprises indiennes, avec des activités également observées au Brésil et en Allemagne.
Investigation
L’unité de recherche sur les menaces d’Acronis a examiné les récents cas de Makop et a établi une chaîne d’attaque reproductible qui commence par des tentatives de force brute RDP, puis passe au balayage du réseau, au vidage des informations d’identification et à l’exécution de plusieurs exploits d’élévation de privilèges liés aux CVE. GuLoader a été observé comme délivrant des charges utiles secondaires telles qu’AgentTesla et FormBook. Les enquêteurs ont également documenté les outils AV-killer, les pilotes vulnérables et les désinstalleurs personnalisés utilisés pour neutraliser les solutions de sécurité.
Atténuation
Les défenses recommandées incluent l’application de l’authentification multi-facteurs sur le RDP, l’élimination de tout point d’extrémité RDP exposé à Internet, l’application de correctifs pour tous les CVE référencés, la surveillance des binaires de chargeurs connus et des utilitaires AV-killer, et l’utilisation de la détection des points d’extrémité pour bloquer l’exécution de scripts suspects. Maintenir les signatures de Windows Defender à jour et restreindre l’utilisation de pilotes non signés ou non fiables réduit davantage l’exposition aux techniques observées.
Réponse
Une fois l’activité détectée, isolez immédiatement l’hôte impacté, terminez les processus GuLoader ou de téléchargeur suspects, et capturez la mémoire volatile pour analyse. Effectuez une révision complète des éventuelles informations d’identification vidées, bloquez les hachages de fichiers malveillants connus et les noms de fichiers, et remédiez aux CVE exploités. Lorsque cela est possible, restaurez les données chiffrées à partir de sauvegardes vérifiées et alertez les équipes appropriées de réponse aux incidents et de gestion.
Flux d’attaque
Détections
Exploitation RDP du Ransomware Makop et Utilisation de Masscan pour le Mouvement Latéral [Connexion Réseau Windows]
Voir
Détection de l’exploitation de ThrottleStop.sys pour l’élévation de privilèges [Sysmon Windows]
Voir
Détection de l’exécution de NLBrute, Mimikatz et GuLoader [Création de processus Windows]
Voir
IOC (HashSha256) à détecter : ransomware Makop : GuLoader et élévation de privilèges dans les attaques contre les entreprises indiennes Partie 3
Voir
IOC (HashSha256) à détecter : ransomware Makop : GuLoader et élévation de privilèges dans les attaques contre les entreprises indiennes Partie 1
Voir
Exécution de la simulation
Prérequis : La Vérification Préalable de Télémétrie & Baseline doit avoir réussi.
Raison : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Récit de l’attaque & Commandes :
-
Préparation : L’attaquant obtient une version malveillante de
ThrottleStop.sysqui est instrumentée pour exploiter CVE-2025-7771 pour l’élévation de privilèges. -
Déploiement : Le pilote est copié dans le répertoire des pilotes système (
C:WindowsSystem32drivers). -
Exécution : En utilisant
sc.exe, l’attaquant crée et démarre un service qui charge le pilote malveillant, élevant ainsi le processus à SYSTEM. - Post-escalade : Avec le jeton élévé, l’attaquant peut usurper des comptes à haute-privilège (T1134.005), mais cette étape est hors du cadre de cette règle.
-
Préparation : L’attaquant obtient une version malveillante de
-
Script de Test de Régression :
# ---------------------------------------------------------------- # Simuler l'exploitation de ThrottleStop.sys (CVE-2025-7771) # ---------------------------------------------------------------- $driverPath = "$env:SystemRootSystem32driversThrottleStop.sys" # 1. Déposez le pilote malveillant (ici nous utilisons une copie de remplacement) Write-Host "[*] Copie du ThrottleStop.sys malveillant vers $driverPath" # Dans un test réel, remplacez la source par le binaire malveillant réel Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force # 2. Enregistrez le pilote comme un service kernel Write-Host "[*] Création du service pour le pilote" sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null # 3. Démarrez le pilote (déclenche Sysmon ImageLoad) Write-Host "[*] Démarrage du service pilote" sc.exe start ThrottleStopSvc | Out-Null Write-Host "[+] Pilote chargé - devrait déclencher la règle de détection." # ---------------------------------------------------------------- -
Commandes de Nettoyage :
# Arrêtez et supprimez le service du pilote malveillant sc.exe stop ThrottleStopSvc | Out-Null sc.exe delete ThrottleStopSvc | Out-Null # Supprimez le fichier du pilote Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force Write-Host "[*] Nettoyage terminé."