Dans une déclaration publiée aujourd’hui, Microsoft a réfuté les rumeurs selon lesquelles sa plateforme de communication et de collaboration Microsoft Teams serait utilisée par des cybercriminels pour implanter des ransomwares sur les réseaux de l’entreprise.
Comme toutes les rumeurs, l’origine est inconnue, mais celles-ci ont commencé à circuler en ligne début novembre, après que plusieurs sociétés espagnoles aient été infectées par le ransomware DoppelPaymer.
publicité
@MSFT365Status @Office365 @Microsoft Any update on the ransomware attack in the companies of Spain with “Microsoft Teams”? — Beowulf (@kampitofreak) November 5, 2019
«Microsoft a enquêté sur les attaques récentes d’acteurs malveillants utilisant le ransomware Dopplepaymer», a déclaré Simon Pope, directeur de la réponse aux incidents du Microsoft Security Response Center (MSRC).
“Des informations trompeuses circulent au sujet de Microsoft Teams, ainsi que des références à RDP (BlueKeep), cités comme moyens de diffusion du logiciel malveillant”, a déclaré Pope.
“Nos équipes de recherche en sécurité ont enquêté et n’ont trouvé aucune preuve pour étayer ces affirmations”, a déclaré l’exécutif de Microsoft. “Lors de nos enquêtes, nous avons constaté que le programme malveillant s’appuyait sur des opérateurs humains à distance utilisant les identifiants de l’administrateur de domaine pour se diffuser sur un réseau d’entreprise.”
En plus de rejeter les rumeurs selon lesquelles les équipes de Microsoft étaient impliquées, Pope a également abordé une deuxième série de rumeurs qui circulent également sur les médias sociaux.
Ces deuxièmes rumeurs allèguent que les cybercriminels pourraient avoir utilisé la vulnérabilité BlueKeep RDP pour installer le ransomware DoppelPaymer, également en référence aux mêmes attaques détectées à travers l’Espagne.
Also, the Microsoft Teams update thing is being repeated by security companies is sourced from a single tweet speculating about it. It’s not a thing, it was never a thing, it’s not a vector in ransomware. The unsexy truth is attackers get domain admin. — Kevin Beaumont (@GossiTheDog) November 21, 2019
Il s’agit d’une première de la part de la société. À ce jour, Microsoft n’a jamais publié une déclaration aussi sévère pour corriger (de manière aussi flagrante) des rumeurs.
Avec le recul, les deux rumeurs n’auraient jamais dû être popularisées, certaines d’entre elles ont été reprises dans des articles de presse, et auraient pu être facilement réfutées.
Premièrement, le ransomware DoppelPaymer est une version du ransomware BitPaymer et, historiquement, il est exclusivement distribué via le botnet Dridex ou les botnets Emotet (ou les deux).
Les ordinateurs infectés par le malware Dridex ou Emotet sont parfois utilisés pour fournir aux opérateurs de ransomwares un accès manuel aux réseaux internes des entreprises. Comme expliqué par Pope ci-dessus, les attaquants extraient les informations d’identification du réseau interne de la société pour qu’elles se propagent latéralement sur d’autres systèmes, puis installent DoppelPaymer sur autant de systèmes que possible.
Deuxièmement, les seules attaques exploitant la vulnérabilité BlueKeep detectées à ce jour avaient pour objectif final l’installation d’un mineur de crypto-monnaie, ce qui a été expliqué par les deux chercheurs qui ont repéré et enquêté sur les attaques BlueKeep [1, 2].
Il n’y a pas encore de cas documenté publiquement où BlueKeep a été utilisé pour installer un ransomware. Comme le chercheur en sécurité Kevin Beaumont et le datascientist en chef de Rapid7, Bob Rudis, ont répété à maintes reprises, la majeure partie du trafic malveillant RDP actuel est constituée d’attaques par force brute RDP et non de trafic d’exploitation lié à la faille BlueKeep.
Yep. Can confirm. https://t.co/4IDOwNfFRq — boB Rudis (@hrbrmstr) November 21, 2019
Source : ZDNet.com
Comments