Au cours du mois dernier, l’activité du réseau de botnets Phorpiex a connu une forte hausse.
Un botnet est un réseau d’ordinateurs infectés par des malwares, ce qui permet aux pirates informatiques de les contrôler.
Ces ordinateurs sont ensuite utilisés pour envoyer des spams et pour mener des attaques de phishing, souvent dans le but de distribuer des malwares et des ransomwares.
On sait qu’il y a environ 500 000 ordinateurs dans le réseau de botnets Phorpiex dans le monde entier et que ce réseau fonctionne depuis près de 10 ans.
Le réseau de botnets Phorpiex
Le botnet Phorpiex a été utilisé auparavant pour envoyer des e-mails de sextorsion ; pour distribuer des mineurs de monnaie cryptographique XMRig (un mineur est un ordinateur, c’est-à-dire un réseau cryptographique qui vérifie les transactions ou des malwares voleurs d’informations).
Au mois de juin dernier, le botnet Phorpiex a été utilisé pour mener une campagne massive de demande de rançon en utilisant le ransomware Avaddon. 2 % des entreprises ont été ciblées dans le monde entier.
Les attaques de ransomware ont augmenté au cours des derniers mois. De nombreux pirates qui utilisent cette tactique délivrent des ransomware manuellement après avoir accédé aux réseaux d’entreprise. Pour ce faire, ils exploitent les vulnérabilités des VPN et d’autres logiciels, ou bien ils profitent de configurations logicielles par défaut non sécurisées.
On a également constaté une augmentation des attaques de ransomware utilisant la messagerie électronique comme vecteur d’attaques. Plusieurs variantes de ces logiciels sont désormais diffusées via les e-mails, et le ransomware Avaddon était l’une des plus grandes menaces au mois de juin.
En une semaine, plus d’un million de spams ont été envoyés via le réseau de botnets Phorpiex et la plupart de ces e-mails visaient essentiellement des entreprises américaines.
Avaddon est une nouvelle variante de ransomware qui a été détectée pour la première fois en juin. Les pirates qui l’ont conçu font la publicité de leur malware en tant que ransomware-as-a-service (RaaS) et ont recruté des affiliés pour le distribuer moyennant des bénéfices.
Nouvelles campagnes du ransomware Avaddon
Début juin, une campagne utilisant Avaddon a été détectée.
Elle avait recours à des pièces jointes en JavaScript intégrées à des spams. Les fichiers avaient une double extension qui les faisait apparaître comme des fichiers JPG sur les ordinateurs fonctionnant sous Windows. Les ordinateurs Windows masquent les extensions de fichiers par défaut, de sorte que la pièce jointe semble s’appeler IMG123101.jpg dans la configuration par défaut.
Si Windows avait été modifié pour afficher les extensions de fichiers connues, l’utilisateur verrait que le fichier est en fait IMG123101.jpg.js. Son ouverture lancerait une commande PowerShell et Bitsadmin qui déclencherait le téléchargement et l’exécution du ransomware Avaddon.
Plus récemment, une autre campagne a été détectée. Elle distribuait le ransomware Avaddon en utilisant des spams avec des pièces jointes sous format Excel avec des macros Excel 4.0 malveillantes. Contrairement aux fichiers JavaScript, qui s’exécutent lorsqu’ils sont ouverts par les utilisateurs, les macros Excel nécessitent une action de l’utilisateur pour s’exécuter. Ils étaient donc moins efficaces. Cela dit, les utilisateurs ont pour instruction d’activer les macros en utilisant diverses techniques d’ingénierie sociale et elles sont toujours efficaces.
Avaddon recherche une série de fichiers, les chiffre et ajoute l’extension .avdn. à ces fichiers. Une note de rançon est déposée et un lien est fourni à un site Tor avec un identifiant unique pour permettre à la victime de se connecter pour payer la rançon pour obtenir les clés de déchiffrement des fichiers. Il n’y a aucune clé de déchiffrement gratuite disponible pour le ransomware Avaddon. La récupération des fichiers n’était donc possible que si la rançon était payée ou si des sauvegardes viables existaient et que celles-ci n’avaient pas été chiffrées par le ransomware.
Plusieurs lignes d’objet ont été utilisées dans les e-mails, comme « Votre nouvelle photo » et « Aimez-vous ma photo ? », avec seulement un émoji dans le corps du message. Cette tactique est simple, mais efficace.
Plusieurs mesures peuvent être prises par les entreprises pour prévenir les attaques de ransomware comme celle d’Avaddon et d’autres attaques de ransomwares lancées via les e-mails. Une formation de sensibilisation à la sécurité des employés devrait sensibiliser ces derniers à la menace et leur apprendre à reconnaître les menaces de phishing et de spams.
C’est également un moyen de leur apprendre à signaler les e-mails malveillants à leur équipe de sécurité informatique. Si possible, les macros devraient être désactivées sur tous les appareils des utilisateurs finaux, bien que les pièces jointes des e-mails utilisés par les pirates changent souvent. En fait, la désactivation des macros ne prévient pas toutes les infections par des malwares.
L’une des meilleures défenses contre les menaces comme le phishing, les malwares et les ransomwares est d’installer une solution antispam puissante telle que SpamTitan.
SpamTitan peut fonctionner comme une solution antispam autonome, mais aussi comme un niveau de protection supplémentaire pour la messagerie électronique d’Office 365, en complément de la protection en ligne de Microsoft Exchange (EOP). De plus, il fournit une couche de sécurité supplémentaire pour bloquer les menaces de phishing et de malwares du type « zero day ».
Pour plus d’informations sur la protection de votre organisation contre les ransomwares et les autres attaques lancées via la messagerie électronique, appelez l’équipe de TitanHQ dès aujourd’hui.