Les pirates s’appuient de plus en plus sur les chevaux de Troie pour déployer des attaques de ransomwares

Les pirates s’appuient de plus en plus sur les chevaux de Troie pour déployer des attaques de ransomwares

Crypto media

Une étude réalisée par le fournisseur de solutions de gestion des risques, Kroll, a identifié une tendance croissante à l’utilisation de Qakbot trojan, ou Qbot, pour lancer des campagnes de détournement de fil de courrier électronique et pour déployer des attaques de rançongiciels.

Selon les résultats en collaboration avec des analystes de la National Cyber-Forensics and Training Alliance, ou NCFTA, les cybercriminels cherchent à voler des données financières provenant de plusieurs industries comme les médias, l’éducation et le monde universitaire. Cependant, la pandémie de COVID-19 a également aidé les attaques à cibler le secteur des soins de santé.

Le cheval de Troie serait utilisé comme «point d’entrée» par les opérateurs derrière le gang de rançongiciels ProLock. Le rapport suggère que les victimes sont des cibles faciles en raison des structures de phishing sophistiquées établies par les criminels.

Méthodes d’attaques utilisées par le cheval de Troie Qakbot

Qakbot est un cheval de Troie bancaire qui est actif depuis plus d’une décennie, dit Kroll, et s’appuie sur l’utilisation des enregistreurs de frappe, des récupérateurs de cookies d’authentification, des attaques par force brute et du vol d’informations d’identification de compte Windows, entre autres.

L’un des auteurs de la recherche, Laurie Iacono, vice-président de l’équipe de cyber-risque de Kroll, a expliqué les raisons suivantes à Crypto pourquoi les cybercriminels s’appuient sur des chevaux de Troie comme Qakbot pour lancer des attaques de rançongiciels:

«La raison ultime est de maximiser leurs profits. Au cours des 18 derniers mois, Kroll a observé plusieurs cas où une infection par des chevaux de Troie est la première étape d’une attaque en plusieurs phases: des pirates informatiques infectent un système, trouvent un moyen d’augmenter les privilèges, effectuent des reconnaissances, volent des informations d’identification (et parfois des données sensibles), puis lancez une attaque de rançongiciel à partir d’un niveau d’accès où il peut faire le plus de dégâts. Ils peuvent gagner de l’argent sur le paiement de la rançon et potentiellement sur la vente de données et d’informations d’identification volées, et les données volées aident à forcer les entreprises infectées à payer la rançon. »

Le co-auteur de la recherche et vice-président du département des cyberrisques de Kroll, Cole Manaster, a précisé à Crypto que la montée des attaques de détournement de threads comme celles déployées par Qakbot montre une évolution. Il ajoute ce qui suit:

«Les criminels sont conscients de la formation croissante en cybersécurité chez les utilisateurs de messagerie et produisent des leurres de phishing plus sophistiqués et plus authentiques.»

La crise du COVID-19 augmente le niveau de menace dans les cybercrimes

D’autre part, Iacono a déclaré que l’utilisation de chevaux de Troie par des ransomwares n’est pas rare et donne un exemple des attaques Ryuk qui sont précédées par l’installation du cheval de Troie Emotet et des attaques DoppelPaymer précédées d’injections Trickbot.

Elle prévient qu’avec plus de travailleurs à domicile en raison de la crise COVID-19, ils voient «une légère augmentation des attaques exploitant les vulnérabilités des applications de travail à distance telles que l’exploit Citrix».

Le 17 mai, Crypto a rapporté que le gang ProLock s’appuyait sur le cheval de Troie bancaire Qakbot pour lancer l’attaque et demandait aux cibles des rançons en USD à six chiffres payées en Bitcoin (BTC) pour décrypter les fichiers.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *