Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET découvre « Embargo », un nouveau groupe de ransomware aux méthodes sophistiquées et personnalisées

octobre 2024 par ESET

* Le groupe de ransomware Embargo développe et teste activement de nouveaux outils écrits en Rust.
* Les outils d’Embargo, tels que MDeployer et MS4Killer, permettent de désactiver les solutions de sécurité exécutées sur l’ordinateur de la victime.
* Embargo personnalise ses outils pour les adapter à l’environnement et aux solutions de sécurité spécifiques de chaque victime visée.

Les chercheurs d’ESET ont identifié de nouveaux outils du groupe Embargo, apparu en juin 2024. Cette boîte à outils comprend MDeployer, un chargeur, et MS4Killer, un outil de neutralisation des systèmes de détection et de réponse aux menaces (EDR). MS4Killer se distingue par sa personnalisation pour chaque victime, ciblant uniquement les solutions de sécurité choisies. Ce logiciel malveillant exploite le mode sans échec et un pilote vulnérable pour désactiver les protections de sécurité. Les deux outils sont développés en Rust, le langage de programmation préféré du groupe Embargo.

Embargo semble être un groupe bien financé, disposant de sa propre infrastructure pour communiquer avec ses victimes. Leur stratégie implique une double extorsion : ils exfiltrent les données sensibles des victimes et menacent de les publier sur un site de fuite, en plus de
les chiffrer. Un représentant présumé d’Embargo a évoqué un système de paiement pour des affiliés, suggérant que le groupe opère comme un fournisseur de ransomware-as-a-service (RaaS). Jan Holman, chercheur chez ESET, estime que : « Embargo fonctionne probablement comme un fournisseur RaaS, compte tenu de sa sophistication et de l’existence d’un site de fuite typique. ».

Les différences entre les versions déployées, la présence de bugs et d’artefacts résiduels indiquent que ces outils sont en développement actif. Embargo est encore en phase de construction de sa réputation et cherche à s’établir comme un acteur majeur dans le domaine des ransomwares.

L’utilisation de chargeurs personnalisés et d’outils de suppression EDR est une stratégie courante parmi les groupes de ransomwares. MDeployer et MS4Killer sont généralement déployés ensemble et leurs liens étroits suggèrent qu’ils sont développés par le même acteur malveillant. Le développement continu de cette boîte à outils indique une maîtrise approfondie du langage Rust par cet acteur de la menace.

L’objectif principal de la boîte à outils d’Embargo est de sécuriser le déploiement du ransomware en neutralisant la solution de sécurité présente dans l’infrastructure de la victime. Le groupe consacre beaucoup d’efforts à reproduire ces fonctionnalités à différentes étapes de l’attaque. Tomáš Zvara, chercheur chez ESET, affirme avoir également observé la capacité des attaquants à ajuster leurs outils en temps réel, lors d’une intrusion active, pour s’adapter à une solution de sécurité particulière.


Voir les articles précédents

    

Voir les articles suivants