Détection du Ransomware LockBit : La Bande de Cybercriminels Affiliée à Evil Corp, alias UNC2165, Tente de Contourner les Sanctions Américaines
Table des matières :
En décembre 2019, le Bureau de contrôle des avoirs étrangers (OFAC) du Département du Trésor des États-Unis a sanctionné le groupe de cybercriminels lié à la Russie suivi sous le nom d’Evil Corp (alias Dridex, INDRIK SPIDER) qui se trouvait derrière le déploiement et la distribution du notoire malware Dridex visant les banques et les institutions financières depuis près d’une décennie. Dans une tentative de contourner les sanctions, les acteurs malveillants cherchaient des moyens de passer à des opérations de rançongiciel plus sophistiquées en développant et en appliquant de nouveaux échantillons de logiciels malveillants, y compris WasterLocker and rançongiciel Hades, ce dernier enrichi d’un ensemble d’améliorations d’obfuscation du code.
Selon les dernières recherches de Mandiant, un groupe de menace financièrement motivé surnommé UNC2165, précédemment observé distribuant le malware Hades et également lié aux intrusions par rançongiciel LockBit, peut être affilié aux acteurs d’Evil Corp en raison de recoupements et de schémas de comportement similaires de l’adversaire. Par conséquent, l’activité malveillante du groupe UNC2165 peut être considérée comme une nouvelle étape dans l’évolution des opérations affiliées à Evil Corp.
Détecter l’Activité Evil Corp Affiliée à UNC2165
L’évolution des attaques par rançongiciel représente une menace sérieuse pour les organisations mondiales, par conséquent, leur détection en temps opportun semble être une considération significative lors de l’élaboration d’une stratégie de cybersécurité efficace. Pour détecter l’activité malveillante des affiliés notoires d’Evil Corp qui évoluent constamment dans leur arsenal d’adversaires, explorez un ensemble dédié de règles Sigma de la plateforme Detection as Code de SOC Prime :
Toutes les détections sont applicables aux solutions SIEM, EDR et XDR leaders de l’industrie prises en charge par la plateforme de SOC Prime et sont alignées avec le cadre MITRE ATT&CK® garantissant une visibilité complète sur les menaces pertinentes.
Les praticiens InfoSec cherchant à être pleinement équipés de capacités améliorées de détection et de chasse aux menaces sont incités à explorer l’ensemble de la collection de règles Sigma disponible sur la plateforme de SOC Prime et adaptée aux besoins de sécurité spécifiques. Pour explorer la liste complète du contenu SOC pour détecter le rançongiciel LockBit et rechercher instantanément les menaces pertinentes, cliquez sur le Détecter et Chasser bouton. Pour explorer instantanément la référence MITRE ATT&CK, le CTI pertinent et plus de métadonnées pour une enquête approfondie sur les menaces, parcourez le moteur de recherche de SOC Prime pour la Détection des Menaces, la Chasse aux Menaces et le CTI en cliquant sur le Explorer le Contexte des Menaces bouton.
Détecter & Chasser Explorer le Contexte des Menaces
UNC2165 Déploie le Rançongiciel LockBit : Nouveaux Vecteurs d’Attaque
Selon l’ enquête approfondie de Mandiant, le collectif de hackers suivi sous le nom de UNC2165 utilise de plus en plus le rançongiciel LockBit pour des gains financiers. Les experts en sécurité soulignent que UNC2165 a des chevauchements significatifs avec les acteurs d’Evil Corp, étant probablement la nouvelle incarnation du collectif qui modifie une fois de plus son arsenal pour éviter les sanctions américaines.
Depuis sa sanction en 2019 pour les campagnes de malware Dridex, le groupe Evil Corp a modifié son arsenal plusieurs fois pour continuer ses opérations financières. Auparavant, le groupe avait une approche unique pour pénétrer les réseaux ciblés via la chaîne d’infection « FakeUpdates », déployant des variantes personnalisées de WastedLocker et Hades. Cependant, récemment, Evil Corp a été de plus en plus repéré utilisant LockBit ransomware-as-a-service (RaaS) au lieu d’échantillons de rançongiciel exclusifs. La raison en est d’échapper aux sanctions de l’OFAC en se dissimulant au sein d’autres affiliés LockBit RaaS et en utilisant l’infrastructure LockBit pour des opérations anonymisées.
Les experts de Mandiant ont analysé la nouvelle chaîne de destruction concluant que les acteurs UNC2165 s’en tiennent à FakeUpdates pour l’intrusion initiale. En particulier, les hackers utilisent les chargeurs DONUT et COLOFAKE pour déployer Cobalt Strike Beacon et obtenir un accès au réseau. Ensuite, des attaques Mimikatz et Kerebroasting sont exploitées pour l’escalade de privilèges, tandis qu’un ensemble d’utilitaires natifs de Microsoft Windows (whoami, nltest, cmdkey, and net) sont utilisés pour la reconnaissance interne. Après que les données sensibles de l’environnement aient été accédées et exfiltrées par les hackers, UNC2165 déploie les charges utiles LockBit pour chiffrer les actifs ciblés.
Boostez les capacités de détection des menaces et accélérez la vitesse de chasse aux menaces en accédant à l’ensemble d’outils SOC le plus complet disponible via la plateforme Detection as Code de SOC Prime! Rejoignez maintenant gratuitement et accédez instantanément à la plus grande bibliothèque de contenu de détection ainsi qu’aux outils avancés pour augmenter l’efficacité de vos opérations de cybersécurité.
