CERT-NZ : Rançongiciel Nefilim / attaques en cours

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4696
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

CERT-NZ : Rançongiciel Nefilim / attaques en cours

Message par charles » 22 juin 2020 11:50

Le CERT-NZ (New Zealand) a publié le 16/06/2020 un avis relatif à une campagne de déploiement du rançongiciel Nefilim, exploitant des vulnérabilités sur des systèmes d'accès distants.
Seraient ciblés :

- des accès VPN (voir le sujet : viewtopic.php?f=78&t=1287&p=5040)

- des serveurs RDP (voir : viewtopic.php?f=78&t=1340&p=5322&hilit=bluekeep#p5322 / viewtopic.php?f=78&t=1303&p=5104&hilit=bluekeep#p5104 / viewtopic.php?f=78&t=742&p=5088&hilit=C ... 1181#p5088)

- des passerelles Citrix (Citrix ADC et Citrix Gateway), voir les messages :
À noter également, concernant le rançongiciel Nefilim, les attaquant annoncent publier les données dérobées aux victimes en plus du chiffrement de ces dernières.

Quelques IOCs (sha256) :

Code : Tout sélectionner

8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b
b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953
7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377
b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17
3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5
353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5
5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6
52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea
35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f
7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599
08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641
D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3
B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020
Adresses de messageries observées dans les demandes de rançons :

Code : Tout sélectionner

jamesgonzaleswork1972[AT]protonmail.com
pretty_hardjob2881[AT]mail.com
dprworkjessiaeye1955[AT]tutanota.com
Extension de fichiers chiffrés :

Code : Tout sélectionner

.NEFILIM
Nom du fichier de demande de rançon :

Code : Tout sélectionner

NEFILIM-DECRYPT.txt
Répertoire utilisé pour la création de fichiers batch :

Code : Tout sélectionner

C:\Windows\Temp
Références :

https://www.cert.govt.nz/it-specialists ... hnologies/

https://otx.alienvault.com/pulse/5ed88c ... ea6e1403e5

https://labs.sentinelone.com/meet-nemty ... ansomware/

https://www.trendmicro.com/vinfo/us/sec ... tolen-data

https://www.bleepingcomputer.com/news/s ... tims-data/

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »