L’étendue des menaces continue d’évoluer, mettant les organisations en danger

La Jolla, CA. — GoSecure, l’un des principaux fournisseurs de services de détection et réponse gérées (MDR), a annoncé aujourd’hui les détails de deux découvertes récentes de GoSecure Titan Research. Les résultats sont des exemples de la rapidité et de la perspicacité technique dont font preuve les cybercriminels d’aujourd’hui. Ils illustrent également la facilité avec laquelle les attaques peuvent s’introduire dans les infrastructures de cybersécurité reposant sur des outils traditionnels.

Apparu pour la première fois au début de l’année 2020, le rançongiciel Exorcist est arrivé et reparti assez rapidement. En septembre 2020, l’équipe d’analystes de GoSecure Titan MDR a observé un comportement suspect lorsqu’un fichier exécutable (EXE) a commencé à copier des données du répertoire du navigateur vers des fichiers texte aléatoires. Ce comportement suspect a conduit à une alerte complète lorsque le même exécutable (EXE) s’est mis à communiquer avec une adresse IP malveillante connue qui ordonne à l’exécutable (EXE) d’effectuer des comportements suspects supplémentaires tels que :

  • Créer le fichier oewvcabkhaw.exe
  • Créer un nouveau processus à l’aide de ce même fichier
  • Créer d’autres fichiers nommés de manière suspecte tels que poawhepvtl.exe

Le coup de grâce survient lorsque le lien du raccourci malveillant, SmartClock.lnk, est ajouté au dossier de démarrage de l’utilisateur. Ce raccourci est lié à un fichier activé à l’aide d’une entrée “Registry RunOnce “, qui est ensuite supprimé.

Après que GoSecure Titan MDR ait bloqué toutes les activités suspectes, les chercheurs ont effectué une analyse et ont réalisé qu’ils avaient trouvé un nouveau rançongiciel, nommé par la suite Exorcist 2.0 par les médias. C’est la combinaison de la technologie basée sur le comportement et l’analyse d’un professionnel de GoSecure qui a permis au Titan MDR de détecter et d’atténuer cette activité malveillante. Il n’était pas possible pour les solutions traditionnelles de définir l’action comme étant malveillante, car aucune de ces tactiques n’avait été observée ainsi auparavant. L’équipe de recherche de menaces GoSecure Titan a aussi été requise pour identifier les activités suspectes, corréler tous les comportements et classer avec précision la séquence complète des événements comme étant malveillants.

Lors du temps des fêtes 2020, le service de détection et réponse sur les boîtes de messagerie (IDR) GoSecure Titan a repéré une activité de messagerie qui ressemblait étrangement à BazarLoader. Ces malspams contenaient de faux avis de licenciement et des sondages anonymes, créant un empressement pour les destinataires d’ouvrir la pièce jointe. Après avoir contourné les techniques d’obfuscation, les chercheurs de GoSecure Titan ont noté un exécutable portable (PE) chargé en mémoire, mais agissant de manière inhabituelle. En particulier, l’exécutable portable agissait comme un “ShellCode” au lieu d’agir comme il aurait dû, éliminant les appels aux API liées aux “threads”, ce qui rendait plus difficile la détection de l’activité par des solutions simples basées sur le comportement.

Autres activités intéressantes à prendre en compte :

  • Vérifier si les paramètres régionaux du clavier sont arméniens
  • Vérifier et empêcher l’exécution de multiples instances de BazarLoader
  • Mise à jour de l’en-tête HTML étant non standard
  • Inclusion de la chaîne Stupid Defender afin de se moquer des chercheurs

« Les entreprises sont confrontées à de nombreux défis dans le monde actuel des menaces. Non seulement les adversaires réitèrent rapidement les tactiques des maliciels afin de conserver une longueur d’avance sur les solutions de cybersécurité basées sur la technique, mais de nombreuses organisations manquent également de personnel et d’expérience suffisants pour gérer la sophistication accrue de ces attaques », a déclaré Neal Creighton, PDG de GoSecure. « Avec un temps d’attente moyen de près de 80 jours, il est impératif pour les organisations d’arrêter les attaques le plus rapidement possible afin d’en minimiser l’impact. »

GoSecure Titan MDR réduit considérablement les risques d’une entreprise en offrant une visibilité 24 heures sur 24, 7 jours sur 7 sur les environnements des clients pour identifier, suivre et arrêter les menaces avancées. Titan MDR associe la plateforme Titan à l’équipe expérimentée de recherche de menaces de GoSecure afin d’identifier les activités suspectes, corréler les comportements et classer avec précision les menaces avancées afin qu’elles soient rapidement atténuées. Dans de nombreux cas, ni la technologie ni les personnes ne peuvent à elles seules identifier et classer adéquatement, il faut une synergie entre les deux pour arrêter les menaces avancées inconnues telles que les rançongiciels. GoSecure Titan MDR a mitigé plus de 200 attaques de rançongiciels pour ses clients rien qu’en 2020.

Les principaux avantages de GoSecure Titan MDR :

  • Visibilité : 150 types d’événements uniques sur les terminaux, le réseau, les boîtes de messagerie et le comportement des utilisateurs, contre une moyenne de moins de 50 dans le secteur
  • Analyse : Apprentissage automatique et intelligence artificielle – Tous deux combinés à un examen effectué par un professionnel afin de corréler les comportements et les événements avec les stratégies d’attaque
  • Réponse : Atténuation des attaques en moyenne en moins de 15 minutes, par rapport à un temps d’attente moyen de près de 80 jours
  • Expertise : Plus de 6 ans d’expérience dans l’opérationnalisation de la connexion MDR entre les personnes, les processus et la technologie

Des détails supplémentaires sur ces résultats de GoSecure Titan Research sont disponibles sur le blogue de sécurité de GoSecure.

Pour de plus amples renseignements au sujet de ces attaques, ainsi que sur GoSecure Titan MDR, inscrivez-vous à notre prochain webinaire du 17 mars : Les cybercriminels prennent-ils les devants? Exorcist 2.0 et BazarLoader expliqués. Inscrivez-vous ici.



À propos de GoSecure
Reconnue comme chef de file innovante des solutions de cybersécurité, GoSecure est la première et la seule à intégrer la détection des menaces sur les terminaux, le réseau et les boîtes de messagerie dans un seul service de détection et réponse gérées. La plateforme GoSecure Titan offre une détection, une prévention et une réponse multi-vecteurs prédictives en appliquant une combinaison unique d'analyse comportementale, de criminalistique de la mémoire, d'apprentissage automatique et de techniques réputées pour contrer les menaces les plus avancées. La solution GoSecure Titan MDR est conçue pour détecter et répondre en moins de 15 minutes grâce à des services de réponses et d'atténuation active rapides qui touchent directement le réseau et les terminaux des clients. Ensemble, ces capacités fournissent la réponse la plus efficace à la sophistication accrue des programmes et des individus malveillants en constante évolution ciblant les personnes, les processus et les systèmes. En mettant l'accent sur l'innovation, la qualité, l'intégrité et le respect, GoSecure est devenue un fournisseur de confiance de produits et services de cybersécurité pour les organisations de toutes tailles, et ce, dans tous les secteurs du monde entier.

    Media Contact

      info@gosecure.net
Détection et réponse gérées Titan
Antivirus de nouvelle génération
Détection et réponse sur les terminaux
Détection et réponse sur le réseau
Détection et réponse sur les boîtes de messagerie
Détection et réponse face aux menaces internes
Gestion des pare-feu
Gestion des SIEM
GoSecure Titan
Logiciel Titan
Sécurité de la messagerie
Sécurité Web
Boîte à outils «Responder PRO Forensics»
Services professionnels
Évaluation de la cybersécurité
Évaluation de la compromission de la sécurité
Piratage éthique
Réponse aux incidents et analyse de type «forensics»
Services de conformité et d’audit
Technologies fournies par des tiers

Pin It on Pinterest

Share This