Un acteur présumé de la menace soutenu par l’État iranien, connu sous le nom d' »Agrius », déploie actuellement une nouvelle souche de ransomware nommée « Moneybird » contre des organisations israéliennes.
Agrius cible activement des entités en Israël et dans la région du Moyen-Orient depuis au moins 2021 sous plusieurs alias tout en déployant des effaceurs de données lors d’attaques destructrices.
Les chercheurs de Check Point qui ont découvert la nouvelle souche de ransomware pensent qu’Agrios l’a développée pour aider à étendre leurs opérations, tandis que l’utilisation de « Moneybird » est une autre des tentatives du groupe de menaces pour couvrir leurs traces.
Attaques Moneybird
Les chercheurs de Check Point affirment que les acteurs de la menace accèdent initialement aux réseaux d’entreprise en exploitant les vulnérabilités des serveurs publics, donnant à Agrius un pied initial au sein du réseau de l’organisation.
Ensuite, les pirates se cachent derrière des nœuds ProtonVPN basés en Israël pour déployer des variantes de webshells ASPXSpy cachées dans des fichiers texte « Certificate », une tactique qu’Agrius a utilisée lors de campagnes précédentes.
Après avoir déployé les webshells, les attaquants utilisent des outils open source qui aident à la reconnaissance du réseau à l’aide de SoftPerfect Network Scanner, au mouvement latéral, à la communication sécurisée à l’aide de Plink/PuTTY, au vol d’informations d’identification avec ProcDump et à l’exfiltration de données à l’aide de FileZilla.
Dans la phase suivante de l’attaque, Agrius récupère l’exécutable du rançongiciel Moneybird sur des plates-formes d’hébergement de fichiers légitimes telles que « ufile.io » et « easyupload.io ».
Au lancement, la souche de ransomware C++ chiffrera les fichiers cibles en utilisant AES-256 avec GCM (Galois/Counter Mode), générant des clés de chiffrement uniques pour chaque fichier et ajoutant des métadonnées chiffrées à leur extrémité.
Dans les cas observés par Check Point, le ransomware ciblait uniquement « F:\User Shares », un dossier partagé commun sur les réseaux d’entreprise utilisé pour stocker des documents d’entreprise, des bases de données et d’autres fichiers liés à la collaboration.
Ce ciblage étroit indique que Moneybird vise davantage à perturber l’activité qu’à verrouiller les ordinateurs concernés.
Check Point explique que la restauration des données et le déchiffrement des fichiers seraient extrêmement difficiles car les clés privées utilisées pour chiffrer chaque fichier sont générées à l’aide des données du système GUID, du contenu du fichier, du chemin du fichier et des nombres aléatoires.
Après le cryptage, des notes de rançon sont déposées sur les systèmes concernés, invitant la victime à suivre le lien fourni dans les 24 heures pour obtenir des instructions sur la restauration de ses données.
« Bonjour NOUS SOMMES MONEYBIRD ! Toutes vos données sont cryptées ! Si vous souhaitez les restaurer, suivez ce lien dans les 24 heures », indique la note de rançon Moneybird.
Contrairement aux attaques précédentes liées à Agrius, Moneybird est considéré comme un ransomware, plutôt qu’un essuie-glace, destiné à générer des revenus pour financer les opérations malveillantes des acteurs de la menace.
Cependant, dans le cas vu par Check Point Research, la demande de rançon était si élevée qu’on savait dès le départ qu’un paiement ne serait probablement pas effectué, ce qui rendait l’attaque essentiellement destructrice.
« Oui, des négociations pourraient être possibles, mais la demande était extrêmement élevée, ce qui nous porte à croire que cela fait partie de l’astuce. Ils savaient que personne ne paierait, donc les dommages et les fuites de données étaient attendus. Ce n’était pas un essuie-glace », Eli Smadga, Responsable du groupe de recherche chez Check Point Research, a déclaré à Breachtrace.
Un rançongiciel simple mais efficace
Check Point explique que Moneybird manque de capacités d’analyse de ligne de commande qui permettent des configurations spécifiques à la victime et une plus grande polyvalence de déploiement et s’appuie plutôt sur un blob de configuration intégré.
Cela signifie que les paramètres de comportement du ransomware sont prédéfinis et ne peuvent pas être facilement ajustés pour chaque cible ou circonstance, ce qui rend la souche inadaptée aux campagnes de masse.
Pour Agrius, cependant, Moneybird reste un outil efficace de perturbation des activités, et un développement ultérieur menant à la sortie de versions plus récentes et plus performantes pourrait en faire une menace redoutable pour un plus large éventail d’organisations israéliennes.