Un groupe de cybercriminels ont créé certains logiciels malveillants, que les chercheurs en sécurité ont appelés «Beapy», en utilisant le code de porte arrière persistant et le code d’exploitation EternalBlue, auparavant exclus de la NSA, pour cibler les entreprises. Le logiciel malveillant Beapy installe un code de cryptage qui utilise les réseaux d’ordinateurs de l’entreprise pour ma crypto-monnaie.
Beapy Cryptojacking Malware
Malgré le déclin de l'activité de cryptage depuis le sommet en 2017 en raison de la baisse des évaluations de la courbe cryptographique, les acteurs malveillants peuvent toujours trouver le moyen de gagner beaucoup d'argent en installant un logiciel de cryptage sur des ordinateurs non compressés dans les entreprises. Les entreprises mettent souvent des mois, voire des années à corriger leurs logiciels, ce qui en fait la cible idéale pour le cryptage des campagnes de programmes malveillants.
Beapy est un nouveau logiciel malveillant pour le cryptage qui a récemment touché des milliers d'entreprises de grande qualité, principalement en Chine, mais également dans d'autres pays asiatiques. L'infection se produit lorsque des utilisateurs d'entreprise ouvrent des fichiers Excel infectés qu'ils reçoivent par courrier électronique.
Le groupe utilise la porte dérobée DoublePulsar de la NSA pour rendre Beapy difficile à retirer des ordinateurs et pour permettre une connexion au serveur de commandement et de contrôle (C2) du criminel.
Il utilise ensuite l'exploit EternalBlue de la NSA pour propager l'infection latéralement dans toute l'organisation. Après cela, le client Monero Cryptomining fourni avec Beapy commencera à utiliser les ressources du processeur réseau pour générer de nouvelles pièces pour les cybercriminels.
Sur les machines corrigées contre EternalBlue, les criminels utilisent également un logiciel d'identification appelé Hacktool.Mimikatz.
Les outils de piratage de la NSA ont facilité l'emploi des cybercriminels
Les outils de piratage basés sur Windows que la NSA a créés pour les opérations d'espionnage ont été utilisés pour des attaques de ransomware globales dévastatrices dirigées contre des millions d'appareils et des milliers d'organisations.
Ces outils ont été volés puis divulgués par le groupe "ShadowBrokers" en 2017, et la NSA n'a peut-être pas l'intention de fuir, mais leur existence a mis tout le monde en danger. De même, les logiciels malveillants Flame et Stuxnet créés précédemment par la NSA ont également été utilisés par "le mal" pour causer des dommages plus importants que prévu par la NSA.
Lorsque DoublePulsar et EternalBlue ont été divulgués, Microsoft a eu l’impression inhabituelle de demander publiquement à la NSA de faire preuve de témérité en créant de tels outils, ainsi que le "stockage de vulnérabilités" irresponsable de l’agence.
Dès le premier jour, Microsoft semble avoir très bien compris le potentiel de dommages et le fait que ces outils seront utilisés pour nuire aux clients (ainsi qu'à son image publique) dans les années à venir, même si la société les met immédiatement à jour.
L’exploitation d’EternalBlue a également amené la société à effectuer deux démarches extraordinaires, telles que l’omission d’un mois complet de mises à jour Windows, avant d’annoncer la mise à jour de la vulnérabilité EBB exploitée par EternalBlue, ainsi que la mise à jour de Windows XP non pris en charge. Systèmes d'exploitation Windows Server 2003.
Dès que les deux outils de la NSA ont fui, WannaCry a répandu des ransomwares dans plus de 150 pays et causé au moins 8 milliards de dollars de dommages, selon un rapport d’IBM X-Force.
Parmi les autres logiciels malveillants dangereux créés par l'outil de piratage de la NSA, notons GoldenEye, EternalRocks, NotPetya, Bad Rabbit, Yatron et bien plus encore. Les logiciels malveillants EternalBlue et DoublePulsar de la NSA devraient durer au moins quelques années, jusqu'à ce que les systèmes non mis à jour se déconnectent ou soient corrigés.
Commentaires
Laisser un commentaire