Les chercheurs ont observé une nouvelle variante Linux de la famille de ransomwares TargetCompany qui cible les environnements VMware ESXi à l’aide d’un script shell personnalisé pour fournir et exécuter des charges utiles.

Également connue sous les noms de Mallox, FARGO et Tohnichi, l’opération de ransomware TargetCompany est apparue en juin 2021 et se concentrait sur les attaques de bases de données (MySQL, Oracle, SQL Server) contre des organisations principalement à Taiwan, en Corée du Sud, en Thaïlande et en Inde.

En février 2022, la société antivirus Avast a annoncé la disponibilité d’un outil de décryptage gratuit couvrant les variantes publiées jusqu’à cette date. En septembre, cependant, le gang a rebondi dans une activité régulière ciblant les serveurs Microsoft SQL vulnérables et a menacé les victimes de fuites de données volées sur Telegram.

Nouvelle variante Linux
Dans un rapport publié aujourd’hui, la société de cybersécurité Trend Micro affirme que la nouvelle variante Linux du ransomware TargetCompany s’assure qu’elle dispose de privilèges administratifs avant de poursuivre la routine malveillante.

Pour télécharger et exécuter la charge utile du ransomware, l’auteur de la menace utilise un script personnalisé qui peut également exfiltrer les données vers deux serveurs distincts, probablement pour la redondance en cas de problèmes techniques avec la machine ou si elle est compromise.

Le script shell personnalisé utilisé dans les dernières attaques

Une fois sur le système cible, la charge utile vérifie si elle s’exécute dans un environnement VMware ESXi en exécutant la commande ‘uname’ et en recherchant ‘ vmkernel.’

Ensuite, un  » TargetInfo.le fichier  » txt  » est créé et envoyé au serveur de commande et de contrôle (C2). Il contient des informations sur les victimes telles que le nom d’hôte, l’adresse IP, les détails du système d’exploitation, les utilisateurs et privilèges connectés, les identifiants uniques et les détails sur les fichiers et répertoires cryptés.

Le ransomware chiffrera les fichiers qui ont des extensions liées aux machines virtuelles (vmdk, vmem, vswp, vmx, vmsn, nvram), en ajoutant le “.verrouillé” extension aux fichiers résultants.

Enfin, une demande de rançon nommée  » COMMENT DÉCRYPTER.txt  » est supprimé, contenant des instructions pour la victime sur la façon de payer la rançon et de récupérer une clé de déchiffrement valide.

Demande de rançon déposée par la variante Linux

Une fois toutes les tâches terminées, le script shell supprime la charge utile à l’aide de la commande ‘rm-f x’ afin que toutes les traces pouvant être utilisées dans les enquêtes post-incident soient effacées des machines affectées.

La dernière chaîne d’attaques de l’entreprise cible

Les analystes de Trend Micro attribuent les attaques déployant la nouvelle variante Linux du ransomware TargetCompany à un affilié nommé « vampire », qui est probablement le même dans un rapport Sekoia du mois dernier.

Les adresses IP utilisées pour fournir la charge utile et accepter le fichier texte contenant les informations sur la victime ont été attribuées à un fournisseur de services Internet en Chine. Cependant, cela ne suffit pas pour déterminer avec précision l’origine de l’attaquant.

En règle générale, le ransomware TargetCompany se concentrait sur les machines Windows, mais la sortie de la variante Linux et le passage au chiffrement des machines VMware ESXi montrent l’évolution de l’opération.

Le rapport de Trend Micro comprend un ensemble de recommandations telles que l’activation de l’authentification multifacteur (MFA), la création de sauvegardes et la mise à jour des systèmes.

Les chercheurs fournissent une liste d’indicateurs de compromission avec des hachages pour la version du ransomware Linux, le script shell personnalisé et des échantillons liés au vampire de l’affilié.’

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *