La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié une analyse du ransomware FiveHands, environ une semaine après que les chercheurs en sécurité Mandiant de FireEye aient signalé avoir vu le malware lors d’attaques récentes.

Écrit en C ++, le ransomware FiveHands semble être le successeur de DeathRansom, basé sur les similitudes de code entre les deux. Cependant, les deux familles montrent également une connexion au ransomware HelloKitty.

Le logiciel malveillant est utilisé par un acteur de la menace à motivation financière connu sous le nom de UNC2447, qui cible activement diverses organisations en Europe et en Amérique du Nord, et qui a fait preuve de capacités avancées.

Cette semaine, CISA a révélé avoir reçu un total de 18 fichiers malveillants associés à une attaque FiveHands, dont huit outils de test de pénétration et d’exploitation open source, le ransomware lui-même et neuf fichiers associés au cheval de Troie d’accès à distance SombRAT (RAT).

Dans le cadre de l’attaque, qui a réussi à compromettre une organisation, l’adversaire a exploité ces outils légitimes et malveillants pour voler des données, crypter des fichiers et exiger le paiement d’une rançon à l’organisation victime.

Une faille de sécurité dans un produit de réseau privé virtuel (VPN) a été exploitée comme vecteur d’attaque initial, avec des outils accessibles au public ensuite utilisés pour la découverte du réseau et le ransomware exécuté à un stade ultérieur de l’attaque.

FiveHands, note CISA, utilise un schéma de cryptage à clé publique appelé NTRUEncrypt, et énumère puis efface les clichés instantanés de volume pour empêcher la récupération de données. Dans le cadre de l’attaque, SombRAT a également été déployé, pour faciliter le téléchargement et l’exécution de charges utiles malveillantes supplémentaires.

Dans son rapport d’analyse des logiciels malveillants (MAR) et son rapport d’analyse (AR) qui l’accompagne, CISA fournit non seulement des informations techniques détaillées sur le logiciel malveillant lui-même, mais également des recommandations sur la manière dont les organisations peuvent atténuer des attaques similaires.

La semaine dernière,…