les données et les sauvegardes isolées sont menacées

Kaspersky publie la deuxième partie de la recherche axée sur le développement d’un malware capable d’extraire des données de sauvegardes et de systèmes protégés entrefer.

Les logiciels malveillants de deuxième niveau remplacent les implants de premier niveau utilisés pour l’accès à distance et la collecte de données lors des cyberattaques en Europe de l’Est. Ce outil advanced ouvre la voie au développement d’outils de troisième étape qui collectent et transmettent les données collectées.

Voler des données

La recherche a identifié deux types spécifiques d’implants pour la deuxième phase de l’attaque, à savoir l’extraction de données des systèmes infectés. L’un des modèles d’implant semble être un logiciel malveillant modulaire sophistiqué, visant à profiler les disques amovibles et à les contaminer avec un ver pour exfiltrer les données des réseaux isolés ou isolés des organisations industrielles d’Europe de l’Est.

Sauvegarde et données provenant de systèmes sécurisés isolés

L’autre type d’implant est conçu pour voler des données sur un ordinateur local et les envoyer à Dropbox à l’aide des prochains implants. Les logiciels malveillants conçus spécifiquement pour exfiltrer les données des systèmes à air isolé en infectant les lecteurs amovibles se composent d’au moins trois modules. Chacun est responsable différentes tâches, telles que le profilage et la gestion des disques amovibles, la prise de captures d’écran et l’installation de logiciels malveillants de deuxième étape sur les disques nouvellement connectés.

Sauvegarde – comment fonctionnent les criminels

Au cours de l’enquête, les chercheurs de Kaspersky ont observé les efforts des cybercriminels pour échapper à la détection et à l’analyse. Ils y sont parvenus en cachant la charge utile sous forme cryptée dans des fichiers de données binaires séparés et en intégrant le code malveillant dans la mémoire d’applications légitimes via un détournement de DLL et une chaîne d’injections de mémoire.

Une stratégie unique

Kirill Kruglov, chercheur principal en sécurité chez Kaspersky ICS CERT
Les efforts déployés par l’acteur malveillant pour dissimuler ses actions au moyen de charges utiles chiffrées, d’injections de mémoire et de piratage de DLL pourraient sembler souligner la complexité de ses tactiques. Bien que l’exfiltration de données depuis des réseaux isolés soit une stratégie récurrente adoptée par de nombreuses APT et campagnes cyber-espionnage ciblé, cette fois il a été conçu et mis en œuvre de manière unique.

Alors que les recherches se poursuivent, Kaspersky reste déterminé à se protéger contre les cyberattaques ciblées et à collaborer avec la communauté de la cybersécurité pour diffuser des informations utiles.

Avertissement : Les données des systèmes sécurisés isolés sont menacées

Pour protéger les ordinateurs OT contre les cybermenaces, les experts de Kaspersky recommandent :

• Effectuer des évaluations de sécurité régulières des systèmes OT pour identifier et éliminer d’éventuels problèmes de sécurité la cyber-sécurité.
• Établissez des évaluations et des classifications continues des menaces comme base d’un processus efficace de gestion des vulnérabilités. Des solutions spécialisées, telles que Kaspersky Industrial Cybersecurity, peuvent être une aide utile et une source d’informations uniques et exploitables qui ne sont pas accessibles au public.
• Effectuer des mises à jour en temps opportun des composants clés du réseau OT de l’entreprise, appliquer des correctifs de sécurité ou mettre en œuvre des mesures de compensation sont essentiels pour éviter des incidents majeurs, qui pourraient causer d’énormes dommages économiques en raison d’une interruption du processus de production.

Renforcer les compétences

• Utilisez des solutions EDR, telles que Kaspersky Endpoint Detection and Response, pour la détection précoce des menaces avancées, les enquêtes et la résolution des incidents.
• Améliorer la réponse aux nouvelles techniques malveillantes avancées en construisant et en renforçant l’expertise des équipes en matière de prévention, de détection et de réponse aux incidents. Les cours de formation dédiés à la sécurité OT destinés aux responsables de la sécurité informatique et au personnel OT sont l’une des mesures clés pour atteindre cet objectif.