Cerber : quand ransomware et Cloud font la paire

Feature_Image_400x400-300x300Alors que les services cloud gagnent en popularité auprès des utilisateurs finaux, les cybercriminels imaginent de nouvelles façons d’en tirer parti… En toute malhonnêteté bien sûr, en faisant du Cloud une nouvelle plateforme pour héberger et distribuer le malware. En ciblant les outils cloud de productivité utilisés par nombre d’entreprises, les assaillants espèrent faire des utilisateurs leurs victimes : ces utilisateurs manipulent en effet des données sensibles d’entreprise et le simple fait d’empêcher tout accès à ces données peut avoir des répercussions lourdes sur les opérations métiers.

Ainsi, le ransomware Cerber, dont la dernière variante a été détectée par Trend Micro en tant que RANSOM_CERBER.CAD, a ciblé des utilisateurs particuliers et professionnels d’Office 365.

20160712cerber1ransom

 

 

 

 

 

 

 

 

 

 

 

Figure 1. La toute nouvelle variante de Cerber présente 4 demandes de rançon: un fichier VBS qui est la version audio de la demande de rançon, un fichier.url qui dirige le navigateur vers le site de paiement, ainsi qu’un fichier .html et un fichier.txt (présenté ci-dessus)

Depuis ses origines en mars dernier, le ransomware Cerber a subi un lifting pour s’offrir de nouvelles fonctionnalités : la capacité à mener des attaques de type DDoS et l’utilisation de fichiers Windows Script Files (WSF) pour déjouer les analyses comportementales et contourner les antispam et outils de sécurité email. Cerber est également l’un des très rares malware à délivrer sa demande de rançon de manière vocale. Son code source est, par ailleurs, commercialisé au sein de l’underground russe, selon un modèle ransomware-as-a-service, permettant ainsi aux auteurs de monétiser toujours davantage cette ressource. Ce malware est généralement distribué via des campagnes de malvertising et des kits d’exploit comme Nuclear.

20160712cerber1email1

 

 

 

 

 

 

 

 

 

20160712cerber1email1

 

 

 

 

 

 

 

 

 

 

Figure 2. Exemple d’email de spam avec fichier joint malveillant se faisant passer pour une facture ou un document commercial.

La variante la plus récente de Cerber a ciblé les clients d’Office 365 en leur acheminant des documents Office avec macros, joints à des emails de spam. Microsoft dispose des mesures de sécurité pour Office 365 et les applications Office installées en local. Cette sécurité désactive les macros par défaut, précisément pour empêcher toute infection via un malware utilisant des macros. À l’instar des autres familles de ransomware, Cerber compte sur l’utilisateur pour contourner les fonctions de sécurité, avec notamment des techniques d’ingénierie sociale pour piéger les utilisateurs et les inciter à exécuter manuellement les macros présentes dans le fichier.

L’activation de la macro du document  (W2KM_CERBER.CAD) installe un module de téléchargement d’un cheval de Trois VBS (VBS_CERBER.CAD) qui va, par la suite, recherche  le fichier RANSOM_CERBER.CAD à partir des URL malveillants suivantes :

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

Cette variante de Cerber est capable de chiffrer 442 types de fichiers à l’aide d’AES-265 et RSA, de modifier les paramètres d’Internet Explorer sur la machine infectée, de supprimer les copies masquées de sauvegarde, de désactiver l’écran Startup Repair de Windows et de mettre à l’arrêt certains processus d’Outlook, de The Bat!, de Thunderbird et de Microsoft Word. Le ransomware identifie également le pays du système infecté et s’autodétruit s’il s’agit d’un pays de la Communauté des États Indépendants.

Trend Micro a identifié des messages spam liés à Cerber depuis mai 2016, avec un pic notable en juin, de 800 messages en mai à plus de 12 000 messages en juin. L’activité de spam la plus forte a été observée le 22 juin dernier, avec plus de 9 000 messages identifiés associés à Cerber. Nous avons également identifié que cette nouvelle variante de Cerber était distribuée par les kits d’exploit Rig et Magnitude qui, tous deux, tirent parti de vulnérabilités zero-day et installent d’autres familles de ransomware.

Les auteurs de ransomware comme Cerber vont continuer à utiliser de nouvelles techniques pour étendre leur périmètre d’infection et de distribution de leur malware. Cette fois-ci, ils tirent parti des plateformes cloud pour infecter les particuliers et les professionnels, même si ces plateformes sont aussi sécurisées que leurs homologues desktop. Face aux techniques d’ingénierie sociale utilisée par Cerber, il est fortement recommandé que les utilisateurs désactivent les macros dans leurs logiciels Office et prennent les précautions qui s’imposent lors de l’ouverture des emails en provenance d’expéditeurs méconnus.  Bien sûr, la lutte contre ce ransomware passe également pas une stratégie pertinente en matière de sauvegarde.

Les solutions Trend Micro :

Cloud App Security (CAS) de Trend Micro renforce la sécurité propose en natif par Office 365 et autres services Cloud, grâce à une analyse en sandbox à la recherche de ransomware et de menaces évoluées. CAS détecte les vulnérabilités présentes au sein des documents, et notamment les fichiers Office. De son côté, Deep Discovery™ utilise une analyse comportementale pour détecter les malware inconnus. CAS vient ainsi en supplément des services de sécurité de Microsoft® Office 365™ et,  à ce jour, la solution a détecté et neutralisé plus de 4 millions de fichiers et d’URL malveillants.

CAS analyse également les emails en interne pour identifier les tentatives frauduleuses qui visent à utiliser l’email en tant que passerelle d’infection vers les réseaux corporate, à partir de dispositifs ou de comptes utilisateur dejà infectés. CAS s’intègre directement avec les services cloud tels qu’Office 365, via des API, et sans impact sur les fonctions opérationnelles et d’administration.

Leave a Reply

Your email address will not be published. Required fields are marked *