Ransomware : du webshell au chiffrement, le parcours de Spirals
Une récente attaque de ransomware, identifiée sous le nom de Spirals, a été révélée par des chercheurs de Symantec. L’incident a débuté par la compromission d’un serveur IIS exposé à Internet, permettant aux assaillants d’établir un accès initial. Ils ont ensuite installé un webshell, facilitant l’exécution de commandes directement sur le serveur.
Suite à cette intrusion, les attaquants ont procédé à une élévation de privilèges en activant le protocole de poste de travail à distance (RDP) et en créant un compte utilisateur local dédié. Ils ont ensuite énuméré les utilisateurs et les partages réseau, tout en collectant des données d’authentification à portée.
Une fois le point d’ancrage établi, le déplacement latéral a été initié, comme le rapportent les chercheurs. Pour éviter que RDP ne soit trop visible dans les flux réseau, les assaillants ont déployé un rétro-proxy Socks vers une adresse IP externe sur le port 443. Parallèlement, le rançongiciel a été déployé sur le réseau de la victime via PsExec, l’exécutable ayant été nommé bitsadmin.com pour paraître légitime.
Avant le déploiement du rançongiciel, les opérateurs ont pris soin de désactiver la surveillance en temps réel de Windows Defender et d’arrêter plusieurs services critiques, incluant des produits de virtualisation tels que VMware et Hyper-V, ainsi que des bases de données comme SQL Server et MySQL.
Spirals se distingue par son développement en Rust et utilise un chiffrement AES-128 pour les fichiers. Les clés de chiffrement sont enveloppées par une clé publique ECDH P-256 contrôlée par les attaquants, et les fichiers de plus de 5 Mo ne sont pas entièrement chiffrés pour accélérer le processus.
Cette attaque a eu lieu à la mi-juin dans un environnement prestataire de services IT en Asie, marquant vraisemblablement l’une des premières observations de cette menace. Un site vitrine associé à Spirals pourrait être utilisé pour faire chanter les victimes, menaçant de divulguer leurs noms et données. Toutefois, les équipes de Symantec n’ont pas rendu public l’échantillon dont la signature n’est pas présente dans les bacs à sable d’analyse habituels.
Source : Symantec.
