Le groupe de rançongiciels DEV-0270, également connu sous le nom de Nemesis Kitten, utilise BitLocker de Microsoft pour chiffrer les données de ses victimes.
Les attaques de ransomware ne sont pas rares de nos jours. Et bien sûr, beaucoup d’entre eux ciblent également les ordinateurs Windows. Mais très peu abusent de BitLocker de Windows pour chiffrer les données de leurs victimes. Une niche qui est maintenant occupée par un groupe de piratage parrainé par l’Iran connu sous le nom de Nemesis Kitten ou DEV-0270.
DiskCryptor est également utilisé comme sauvegarde
Selon une analyse du Microsoft Security Threat Intelligence Center (MSTIC), DEV-0270 exploite des vulnérabilités critiques pour accéder aux appareils. Les pirates s’appuient fortement sur les soi-disant LOLBIN (Living-Off-the-Land Binaries) pour voler les informations de connexion. Ils utilisent ensuite BitLocker pour chiffrer les appareils compromis. Ceci est normalement destiné au cryptage complet des supports de données sur les appareils Windows par l’utilisateur.
Source : capture d’écran
Mais les hackers ont aussi une solution pour les postes de travail. Si nécessaire, ils utilisent DiskCryptor pour chiffrer le disque dur.
« DEV-0270 a été observé en utilisant les commandes setup.bat pour activer le chiffrement BitLocker, rendant les machines inutilisables. Pour les postes de travail, le groupe utilise DiskCryptor, un système de chiffrement de disque complet open source pour Windows qui permet le chiffrement de l’intégralité du disque dur d’un appareil.
MSTIC
Les demandes de rançon découlent de mises à jour tardives
Dans de nombreux cas, DEV-0270 a exploité des vulnérabilités connues dans Exchange ou Fortinet (CVE-2018-13379). En particulier, la vulnérabilité ProxyLogon dans Exchange a été utilisée très fréquemment, même si une mise à jour existe depuis longtemps. Dans ce contexte, Microsoft souligne une fois de plus à quel point il est important de maintenir les systèmes à jour.
L’observation du comportement des cybercriminels a révélé qu’ils exigent généralement une rançon de leurs victimes deux jours après avoir infiltré un appareil. Dans un cas connu, le montant était de 8 000 $. Les personnes concernées qui ne se conforment pas à cette exigence doivent s’attendre à ce que les pirates proposent à la vente les données volées dans un vidage de base de données SQL.
DEV-0270 fait partie du groupe de cyberespionnage Phosphorus
DEV-0270 ferait partie d’une société opérant sous les deux alias publics Secnerd et Lifeweb. Ceci est indiqué par de nombreux chevauchements d’infrastructures. De plus, ces organisations sont également liées à Najee Technology Hooshmand de Karaj.
« Le groupe opère généralement de manière opportuniste : il analyse Internet pour trouver des serveurs et des appareils vulnérables, et laisse les organisations avec des serveurs et des appareils vulnérables et détectables vulnérables à ces attaques. »
MSTIC
Selon l’équipe du MSTIC, DEV-0270 est un sous-ensemble de Phosphorus, un groupe de cyberespionnage connu pour cibler des hauts fonctionnaires, des ONG et des organisations de défense. Cependant, les Redmonders supposent «que certaines des attaques de ransomware DEV-0270 sont une forme de travail au noir pour générer des revenus personnels ou liés à l’entreprise.«
Nous avons également récemment rendu compte d’un groupe de piratage d’État iranien connu sous le nom de HomeLand Justice, dont l’attaque contre l’Albanie a eu de graves conséquences pour les relations diplomatiques entre les deux pays.
