ClickCease Trellix découvre le casier "Read The Manual" d'un gang de cybercriminels

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Trellix signale l'émergence du gang cybercriminel "Read The Manual" Locker

par

Le 27 avril 2023 - L'équipe de relations publiques de TuxCare

Trellix, une société de cybersécurité, a fourni des informations détaillées sur le mode opératoire d'un nouveau gang de cybercriminels appelé "Read The Manual" Locker. Le groupe propose des ransomware-as-a-service (RaaS) à un réseau d'affiliés qui doivent se conformer à des règles strictes imposées par le gang. Leurs tactiques, techniques et procédures sont expliquées dans le rapport.

Le gang cherche à éviter l'attention et à ne pas faire les gros titres, se concentrant plutôt sur le gain d'argent tout en restant anonyme. Ils publient leurs notifications à la fois en anglais et en russe, ce dernier étant de meilleure qualité. La région de la Communauté des États indépendants d'Europe de l'Est et d'Asie (CEI) leur est interdite afin d'éviter de faire des victimes dans cette zone.

Le rapport révèle que le panel du groupe donne un aperçu de ses règles, de ses cibles et de son mode opératoire. Sur la base des informations disponibles, les chercheurs ont pu faire des estimations sur la localisation géographique de certains membres.

Le panneau du gang est accessible par une combinaison de nom d'utilisateur et de mot de passe et un code captcha pour empêcher les tentatives de connexion par force brute par d'autres acteurs et chercheurs. Les affiliés peuvent ajouter des victimes rançonnées, ce qui aligne les méthodes du groupe sur le comportement standard actuel des gangs de ransomware.

La note de rançon informe les victimes que leur réseau a été infecté par le ransomware RTM Locker et que leurs fichiers, y compris les documents personnels, les photos, les données des clients et des employés, et les bases de données, ont été chiffrés et sont inaccessibles. La note prévient que si les victimes ne contactent pas l'équipe d'assistance dans les 48 heures, leurs données seront publiées dans le domaine public et les données compromises seront envoyées à leurs concurrents et aux autorités de régulation. La note conseille aux victimes de ne pas tenter de récupérer elles-mêmes les fichiers ou de modifier les fichiers cryptés, car elles risquent de perdre définitivement leurs données.

Le ransomware n'utilise pas d'exploit pour obtenir des capacités d'administrateur ; au lieu de cela, il se lance lui-même avec les autorisations nécessaires, ce qui entraîne l'apparition d'une boîte de dialogue de contrôle de compte d'utilisateur. Si la victime accepte l'exécution, une nouvelle instance de processus avec les autorisations d'administrateur nécessaires est créée et l'instance de casier existante est terminée. Si la victime refuse l'invitation, le casier continuera à la solliciter jusqu'à ce que les autorisations soient accordées.

Pour paralyser plus efficacement le système ciblé, le RTM Locker crypte autant de données que possible et vérifie s'il dispose d'autorisations d'administrateur sur le domaine du système intégré afin de garantir que les autorisations appropriées sont obtenues, ce qui permet un accès incontrôlé à l'appareil.

Le casier RTM manque de symboles, mais les fonctions et variables renommées dans l'analyse sont fournies tout au long de l'analyse. La fonction principale du casier examine les entrées de la ligne de commande et règle la sortie de la console sur "-debug", ce qui permet au casier d'imprimer des informations de débogage. La capture d'écran suivante illustre la vérification des paramètres de la ligne de commande et l'appel à la fonction qui définit la sortie de la console.

L'étape suivante consiste à garantir un impact maximal en mettant fin aux programmes susceptibles de bloquer un fichier ou d'être utilisés pour l'analyse de fichiers malveillants. Il s'agit notamment de sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe et notepad.exe.

Il arrête ensuite tous les services présents dans une liste intégrée. Les services ciblés sont responsables de la protection antivirus et des sauvegardes, et comprennent vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, YooBackup, YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, ArcSch2Svc, AcronisAgent, CASAD2DWebSvc et CAARCUpdateSvc.

Le ransomware n'est actuellement pas obscurci, ce qui facilite son identification et son atténuation. Cependant, sa capacité à mettre fin à certains processus et services peut causer des dommages importants au système ciblé.

Les sources de cet article comprennent un article de SecurityAffairs.

Résumé
Trellix découvre le casier "Read The Manual" d'un gang de cybercriminels
Nom de l'article
Trellix découvre le casier "Read The Manual" d'un gang de cybercriminels
Description
Trellix a fourni des informations détaillées sur le mode opératoire d'un nouveau gang de cybercriminels appelé "Read The Manual" Locker.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !