Un groupe de pirates turcs motivés financièrement cible des serveurs Microsoft SQL (MSSQL) dans le monde entier pour crypter les fichiers des victimes avec le ransomware Mimic (N3ww4v3).

Ces attaques en cours sont suivies en tant que RE#TURGENCE et ont été dirigées contre des cibles dans l’Union européenne, aux États-Unis et en Amérique latine.

« La campagne de menaces analysée semble se terminer de deux manières, soit la vente de « l’accès » à l’hôte compromis, soit la livraison finale de charges utiles de ransomware », a déclaré l’équipe de recherche sur les menaces Securonix qui a repéré la campagne.

« La chronologie des événements était d’environ un mois entre l’accès initial et le déploiement du ransomware MIMIC sur le domaine de la victime. »

Serveurs MSSQL avec des configurations non sécurisées
Les auteurs de la menace ont compromis les serveurs de base de données MSSQL exposés en ligne lors d’attaques par force brute. Ensuite, ils ont utilisé la procédure xp_cmdshell stockée dans le système, ce qui leur a permis de générer un shell de commandes Windows avec les mêmes droits de sécurité que le compte de service SQL Server.

xp_cmdshell est désactivé par défaut car les acteurs malveillants l’utilisent souvent pour élever leurs privilèges, et son utilisation déclenchera souvent des outils d’audit de sécurité.

À l’étape suivante, les attaquants ont déployé une charge utile Cobalt Strike fortement obscurcie à l’aide d’une séquence de scripts PowerShell et de techniques de réflexion en mémoire dans le but final de l’injecter dans l’injection dans le processus natif de Windows SndVol.processus exe.

Ils ont également téléchargé et lancé l’application de bureau à distance AnyDesk en tant que service, puis ont commencé à collecter des informations d’identification en texte clair extraites à l’aide de Mimikatz.

Après avoir analysé le réseau local et le domaine Windows à l’aide de l’utilitaire Advanced Port Scanner, ils ont piraté d’autres périphériques sur le réseau et, en utilisant des informations d’identification volées précédemment, compromis le contrôleur de domaine.

Imitez la demande de rançon du ransomware

​Déposé via AnyDesk
Ils ont ensuite déployé les charges utiles du ransomware Mimic sous forme d’archives auto-extractibles via AnyDesk, recherchant des fichiers à chiffrer à l’aide de l’application légitime Everything, une technique observée pour la première fois en janvier 2023.

« Mimic supprimera tous les binaires utilisés pour faciliter le processus de cryptage. Le compte-gouttes Mimic dans notre cas ‘red25.exe, « a supprimé tous les fichiers nécessaires pour que la charge utile principale du ransomware atteigne ses objectifs », a déclaré Securonix.

« Une fois le processus de cryptage terminé, le rouge.le processus exe a exécuté l’avis de cryptage / paiement qui a été enregistré sur le lecteur C:\ de la victime sous le nom ‘—IMPORTANT—NOTICE—.txt’. »

Comme l’a découvert Breachtrace, l’e-mail utilisé dans la demande de rançon ([email protected]) relie également ce groupe de menaces aux attaques de ransomware Phobos. Phobos est apparu pour la première fois en 2018 en tant que ransomware en tant que service dérivé de la famille des ransomwares Crysis.

Securonix a exposé une autre campagne ciblant les serveurs MSSQL l’année dernière (suivie sous le nom de DB#JAMMER) en utilisant le même vecteur d’attaque d’accès initial par force brute et en déployant le ransomware FreeWorld (un autre nom pour Mimic ransomware).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *