Analyse de l’attaque manquée du rançongiciel GandCrab sur le réseau d'un hôpital américain

Le 3 février dernier, le rançongiciel GandCrab a pris pour cible un fournisseur de soins de santé américain, sur un périmètre comptant environ 500 postes de travail. Ce bulletin détaille les investigations des chercheurs d'une société de sécurité qui proposent un retour d'expérience sur une attaque de ce rançongiciel qui a été en partie déjouée par l'antivirus installé sur l'un des postes de travail de la cible. Par conséquent, le chiffrement complet des postes et serveurs a été évité. GandCrab chiffre chacun des fichiers d'un ordinateur sous un format « .KRAB » pour ensuite exiger une rançon en échange du déchiffrement des fichiers. Ici, les attaquants ont privilégié un environnement ciblé dans lequel l’ensemble de l’organisation est impactée, afin de s’assurer qu’une rançon importante soit payée.

Ce rançongiciel a été identifié pour la première fois en décembre 2017, il est devenu un des « rançongiciels externalisés » (ransomware-as-a-service) très populaire grâce à son modèle et sa distribution assurée via le Darkweb.

Détails techniques :

Phase de reconnaissance et d’intrusion par les attaquants

Les attaquants ont utilisé des techniques d’intrusion traditionnelles : l’activation de RDP (Remote Desktop Protocol) sur certains serveurs et l'ouverture du port correspondant sur Internet leur a permis de lancer une attaque par force brute permettant de récupérer des informations de connexion. Ils sont ainsi parvenu à pénétrer sur le système d’information de la victime. Une fois sur le réseau, les attaquants se sont ensuite déplacés latéralement depuis un ordinateur servant d'hôte à plusieurs machines virtuelles exécutant certains services vitaux pour la victime.

Il est à souligner que l’activation de RDP rend le système vulnérable aux attaques par force brute et par déni de service. Pour ce cas, des outils tels que le moteur de recherche Shodan permettent à des attaquants de choisir leurs victimes en fonction des éléments identifiés au préalable.

Une fois sur le réseau, les attaquants ont utilisé des outils de cassage de mots de passe afin de réaliser une élévation de privilèges. Les attaquants ont ensuite procédé à un scan du réseau de la victime à l'aide de deux outils - KPortScan3.exe et NetworkShare.exe – directement téléversés dans le répertoire C:\PerfLogs\Apps. Le but était la compilation dans un fichier d’une liste d’adresses IP disposant de ports ouverts permettant de déployer GandCrab.

Première vague d’attaque

Après avoir scanné l’ensemble du réseau, les attaquants ont lancé une première vague d’attaques par l’intermédiaire d’un script batch qui utilise l'utilitaire PsExec de Windows afin de répliquer GandCrab. Renommé « Adobe Acrobat.exe », le script a envoyé les instructions de copie vers chaque adresse IP précédemment recueillie.

PsExec est un utilitaire généralement utilisé par les administrateurs réseaux pour distribuer ou exécuter des logiciels sur un réseau, sans avoir à installer manuellement les logiciels sur les postes clients. Ici, PsExec avait été supprimé de la liste d’applications potentiellement indésirables par les administrateurs. Si PsExec était resté sur cette liste, une alerte aurait été générée et le mécanisme de protection contre les codes malveillants aurait empêché la copie du rançongiciel sur les postes du réseau.

Le logiciel a rapidement été détecté et bloqué par l’antivirus en raison d’un comportement spécifique lors de son exécution.

Sur les quelques postes dont le contenu était chiffré, un lien vers une page du Darkweb (accessible depuis TOR) était fourni. Cette page précisait les instructions de paiement de la rançon et le processus de récupération de la clé de déchiffrement . La demande de rançon a ainsi pu être évaluée à hauteur de 18 750 $ par machine, la somme demandée doublant après six jours.

Deuxième vague

La première attaque a été considérée comme un échec pour les attaquants puisque quelques postes seulement ont été infectés. Environ dix minutes après cette première vague, une deuxième attaque GandCrab utilisant une nouvelle technique d'injection a été lancée par un autre script batch s'appuyant toujours sur PsExec.

Une fois cette phase initiée, le téléchargement d'un code hébergé sur pastebin.com permettait d’appeler une fonction devant s’exécuter après un délai d’environ 11 jours. La fonction contenait une copie complète, encodée en base64 du logiciel malveillant GandCrab, exécutable directement en mémoire par PowerShell.

L’utilisation de PowerShell permet potentiellement à l’attaquant d'esquiver une détection par le logiciel antivirus installé, PowerShell étant considéré comme un exécutable légitime. Cependant, lors de son exécution, l'antivirus a également identifié un comportement suspect et a ensuite bloqué le script.

Pour les mêmes raisons ayant conduit à l’échec de la première vague d’attaque, cette tentative se solde également par un échec.

Conclusion :

Suite à ces deux vagues d'attaque, le mode opératoire est sujet à débat entre les chercheurs. En effet, ces derniers s’interrogent sur l'utilité du délai de 11 jours prévu avant le déclenchement de la deuxième attaque.

 

Recommandations
+

Si vous êtes victimes de GandCrab, un outil de déchiffrement développé par BitDefender Labs est disponible gratuitement et permet de récupérer ses fichiers pour les versions 5.1 et antérieures à cette adresse.