Le ransomware Entropy possède-t-il le même code que le Malware Dridex ?

Le ransomware Entropy possède-t-il le même code que le Malware Dridex ?

Suite à deux incidents ciblant une entreprise de média au Royaume-Uni et une agence gouvernementale locale, la société de cybersécurité Sophos a découvert des similitudes entre le ransomware Entropy et le Malware Dridex. 

Des points communs sur les modes opératoires

Les chercheurs ont découvert des points communs sur la technique de dissimulation du code malveillant. Par ailleurs, dans les deux attaques, les opérateurs ont infecté les réseaux cibles avec Cobalt Strike Beacons et Dridex en attaque initial

Cette infection initiale a permis aux pirates de bénéficier d'un accès à distance. Ils ont par la suite déployé le ransomware Entropy. Néanmoins, les Malwares utilisés pour lancer la phase finale du piratage ne sont pas les mêmes

Pour attaquer la société médiatique, les hackers ont ciblé un serveur Exchange vulnérable via exploit ProxyShell. Cela a permis d'installer un code encoquillé, utilisé pour diffuser Cobalt Strike Beacons sur le réseau. 

Les acteurs malveillants ont utilisé une approche plus simple pour attaquer l'organisation gouvernementale. Une simple pièce jointe contenant le Malware Dridex a permis de déployer les charges utiles supplémentaires.

Une origine commune

Pour mener à bien les attaques, les opérateurs ont utilisé des outils légitimes comme AdFind, PsExec et PsKill. Les chercheurs ont par ailleurs découvert un lien entre les échantillons Dridex et Entropy avec ceux utilisés pour l'infection via le ransomware DoppelPaymer. Cela pourrait supposer une origine commune.

Les chercheurs attribuent également ces mêmes souches à un simple changement de nom face aux opérations offensives menées par le gouvernement américain et l'alliance des médias internationaux contre les gangs de ransomware.

Evil Corp par exemple aurait effectué de nombreux changements d'identité de son infrastructure depuis que le groupe a été traqué par les autorités américaines. Ces dernières années, les opérateurs ont tour à tour utilisé WastedLocker, Hades, Phoenix, PayloadBIN, Grief ou encore Macaw pour échapper à la détection

Un code emprunté ?

Le ransomware Entropy possède-t-il le même code que le Malware Dridex ?

Les chercheurs émettent une autre hypothèse sur cette similitude. Il se peut également disent-ils que les opérateurs derrière ces Malwares aient emprunté le code. Ils évoquent deux raisons possibles : économiser les efforts de développement ou fausser délibérément les pistes. 

« Dans les deux cas, les attaquants se sont appuyés sur un manque de diligence, les deux cibles ayant des systèmes Windows vulnérables qui manquaient de correctifs et de mises à jour » a déclaré Andrew Brandt, chercheur principal chez Sophos.

Il ajoute : « Des machines correctement patchées, comme le serveur Exchange, auraient forcé les attaquants à travailler plus dur pour réussir l'accès initial aux organisations qu'ils ont pénétrées ».   

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *