Études
Sécurité

Ce qu’il faut savoir sur Spacecolon et les risques de ScRansom

• Bookmarks: 30

Dossier sur Spacecolon publié dans Goodtech.info avec les chercheurs d'ESET

Spacecolon est un ensemble d’outils déployant des variantes du rançongiciel Scarab auprès de victimes. Il semble particulièrement actif en Europe et infiltre probablement les organisations victimes via des opérateurs compromis. Voici un résumé de ce que l’on sait.

Différentes versions de Spacecolon contiennent de nombreuses chaînes turques, selon des chercheurs de la société ESET qui viennent de publier un long dossier sur le sujet (plus de 30 minutes de lecture).

L’outil aurait donc été écrit par un développeur turcophone aux alentours de mai 2020, mais ses campagnes sont toujours en cours. Les incidents de Spacecolon identifiés par la télémétrie couvrent le monde entier, avec une forte prédominance pour les pays de l’Union européenne, tels que la Belgique, l’Espagne, la France, la Pologne et la Hongrie

Les chercheurs ont nommé les opérateurs de Spacecolon CosmicBeetle pour représenter le lien vers “l’espace” et le “scarabée”.

Ce que l’on sait en résumé

  • Les opérateurs de Spacecolon, nommés CosmicBeetle par ESET, n’ont pas de cible claire, mais les détections les plus élevées sont dans les pays européens, puis la Turquie et le Mexique.
  • Spacecolon peut servir de cheval de Troie avec accès à distance et la capacité d’extraire des informations sensibles et/ou de déployer le rançongiciel Scarab.
  • CosmicBeetle semble préparer la distribution d’un nouveau ransomware (rançongiciel) que les chercheurs de l’éditeur ont nommé ScRansom.

Quelles risques ? Les détails

CosmicBeetle compromet probablement les serveurs Web sensibles à la vulnérabilité ZeroLogon ou ceux avec des informations d’identification RDP qu’il est capable de forcer brutalement. De plus, Spacecolon fournit un accès par porte dérobée à ses opérateurs. CosmicBeetle ne fait pas réellement d’effort pour cacher ses maliciels et laisse de nombreux artefacts sur les systèmes compromis.

Le danger ScHackTool

Après avoir compromis un serveur Web, CosmicBeetle déploie ScHackTool. Il s’agit du principal composant de Spacecolon utilisé par CosmicBeetle. Il se base fortement sur son interface graphique et la participation active de ses opérateurs. Ceci leur permet d’orchestrer l’attaque comme ils l’entendent, en téléchargeant et en exécutant des outils supplémentaires sur la machine compromise. Si la cible est jugée utile, CosmicBeetle peut déployer ScInstaller et l’utiliser pour installer ScService, qui fournit un accès à distance supplémentaire.

Un rançongiciel en embuscade

La charge utile finale déployée par CosmicBeetle est une variante du rançongiciel Scarab. Celle-ci déploie en interne un ClipBanker, une sorte de logiciel malveillant qui surveille le contenu du presse-papiers et modifie le contenu, qu’il juge être l’adresse d’un portefeuille de cryptomonnaie, en une adresse contrôlée par l’attaquant.

Nouvelle menace potentielle

Par ailleurs, une nouvelle famille de rançongiciels est en cours de développement, avec des échantillons téléchargés depuis la Turquie sur VirusTotal. ESET Research croit avec une grande certitude qu’il est écrit par les mêmes développeurs que Spacecolon, et les chercheurs l’ont nommé ScRansom. Ce dernier s’attaque (chiffrement) aux disques durs, amovibles et distants.

Pour l’heure, apprend-on dans l’étude publiée cette semaine, ESET n’a pas observé ce rançongiciel ailleurs dans la nature, et il semble être encore au stade du développement.

30 recommended
bookmark icon
%d blogueurs aiment cette page :