Les sources fiables et les rapports open source ont suggéré que le vecteur d'infection initial pour cette campagne était une mise à jour qui avait été corrompu pour la suite de logiciels MeDoc, un progiciel utilisé par de nombreuses organisations ukrainiennes. Le calendrier d'une mise à jour du logiciel MeDoc, qui a eu lieu le 27 juin, est conforme aux rapports initiaux de l'attaque de ransomware, et le timing est en corrélation avec le mouvement PSExec que nous avons observé dans les réseaux de victimes à partir d'environ 12h12 UTC. En outre, le site MeDoc affiche actuellement un message d'avertissement en russe indiquant: "Sur nos serveurs se produit une attaque de virus. Nous nous excusons pour les inconvénients temporaires!"
Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes. L'analyse des artefacts associés à cette campagne est toujours en cours.
FireEye a confirmé les deux exemples suivants liés à cette attaque :
71b6a493388e7d0b40c83ce903bc6b04
E285b6ce047015943e685e6638bd837e
FireEye a mobilisé un événement de protection communautaire et continue d'enquêter sur ces rapports et l'activité de menace impliquée dans ces incidents perturbateurs. FireEye en tant que service (FaaS) s'engage activement dans le suivi des environnements clients.
Alors que la détection de FireEye s'appuie sur l'analyse comportementale des techniques malveillantes, notre équipe a créé une règle YARA pour aider les entreprises à rechercher de façon rétroactive leurs environnements pour ce malware, ainsi qu'à détecter les activités futures. Notre équipe s'est concentrée sur les techniques d'attaquants malveillants qui sont essentielles au fonctionnement du logiciel malveillant: l'utilisation du lecteur SMB, le langage de demande de rançon, les fonctions sous-jacentes et les API, et les utilitaires systèmes utilisés pour le mouvement latéral.
Contexte supplémentaire :
FireEye continue d'enquêter sur les rapports d’activités de menace impliquées dans ces incidents perturbateurs. Sur la base de notre analyse initiale, le ransomware utilisé dans cette campagne imite Petya de certaines façons et la page de redémarrage MBR est identique. Cependant, il existe des changements notables pour inclure le mécanisme de propagation et un délai d'heure pour le cryptage des fichiers, ce qui peut être destiné à permettre la propagation. Nous croyons qu'un vecteur d'infection utilisé dans cette campagne était le logiciel M.E.Doc, qui aurait été utilisé aux fins de la comptabilité fiscale en Ukraine. En outre, les charges utiles associées à la campagne présentent un comportement d'auto-propagation. En outre, il est possible que d'autres vecteurs d'infection initiaux soient également impliqués. Cette activité met en évidence l'importance des organisations qui sécurisent leurs systèmes contre les infections EternalBlue exploit et ransomware.
Nous avons détecté ces attaques sur des organisations situées dans les pays suivants: Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne. (Notez que ces documents n'ont pas été extraits de sources ouvertes, comme des rapports d'actualité).
Notre analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes. L'analyse des artefacts associés à cette campagne est toujours en cours.
FireEye a confirmé les deux exemples suivants liés à cette attaque :
71b6a493388e7d0b40c83ce903bc6b04
E285b6ce047015943e685e6638bd837e
FireEye a mobilisé un événement de protection communautaire et continue d'enquêter sur ces rapports et l'activité de menace impliquée dans ces incidents perturbateurs. FireEye en tant que service (FaaS) s'engage activement dans le suivi des environnements clients.
Alors que la détection de FireEye s'appuie sur l'analyse comportementale des techniques malveillantes, notre équipe a créé une règle YARA pour aider les entreprises à rechercher de façon rétroactive leurs environnements pour ce malware, ainsi qu'à détecter les activités futures. Notre équipe s'est concentrée sur les techniques d'attaquants malveillants qui sont essentielles au fonctionnement du logiciel malveillant: l'utilisation du lecteur SMB, le langage de demande de rançon, les fonctions sous-jacentes et les API, et les utilitaires systèmes utilisés pour le mouvement latéral.
Contexte supplémentaire :
FireEye continue d'enquêter sur les rapports d’activités de menace impliquées dans ces incidents perturbateurs. Sur la base de notre analyse initiale, le ransomware utilisé dans cette campagne imite Petya de certaines façons et la page de redémarrage MBR est identique. Cependant, il existe des changements notables pour inclure le mécanisme de propagation et un délai d'heure pour le cryptage des fichiers, ce qui peut être destiné à permettre la propagation. Nous croyons qu'un vecteur d'infection utilisé dans cette campagne était le logiciel M.E.Doc, qui aurait été utilisé aux fins de la comptabilité fiscale en Ukraine. En outre, les charges utiles associées à la campagne présentent un comportement d'auto-propagation. En outre, il est possible que d'autres vecteurs d'infection initiaux soient également impliqués. Cette activité met en évidence l'importance des organisations qui sécurisent leurs systèmes contre les infections EternalBlue exploit et ransomware.
Nous avons détecté ces attaques sur des organisations situées dans les pays suivants: Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne. (Notez que ces documents n'ont pas été extraits de sources ouvertes, comme des rapports d'actualité).
Les médias du groupe Finyear
Lisez gratuitement :
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer
Autres articles
-
Bangk, une ICO pour un projet de néobanque éthique et décentralisée
-
Crypto : Les grands magasins Printemps en partenariat avec Binance Pay et Lyzi pour accepter les paiements en cryptomonnaie
-
Quelles sont les règles concernant le rachat d'un PER ?
-
Freqens : 3 millions pour la fintech afin de peaufiner sa plateforme de benchmarking des prix B2B
-
Wero, le portefeuille de paiement numérique d'EPI, arrive en Belgique