ActualitéInformatique

Spirals : ce ransomware peut voler des données et chiffrer un réseau en moins de 24 heures

Spirals a permis à des cybercriminels de compromettre une entreprise, d’exfiltrer ses données et de chiffrer son réseau en moins d’une journée. L’attaque a commencé par un serveur Microsoft IIS exposé sur Internet, avant de se propager rapidement à plus d’une douzaine de systèmes.

Un serveur IIS exposé a suffi pour lancer l’attaque

L’incident a touché en juin une entreprise de services informatiques située en Asie du Sud. Les pirates auraient obtenu leur premier accès en compromettant un serveur Internet Information Services, plus connu sous le nom d’IIS, directement accessible depuis le Web.

Après l’intrusion, ils ont installé un web shell ASP.NET afin de contrôler le serveur à distance. Cette porte d’entrée leur a permis d’enchaîner rapidement les actions nécessaires à la prise de contrôle du réseau.

L’affaire montre qu’un seul serveur mal protégé peut devenir le point de départ d’une crise généralisée.

Les pirates ont sécurisé plusieurs accès au réseau

Les opérateurs de Spirals ont contourné le contrôle des comptes utilisateurs de Windows, activé le Bureau à distance et créé un compte local pour conserver leur accès.

Ils ont aussi tenté d’extraire des identifiants en récupérant la base SAM de Windows et le contenu de la mémoire du processus LSASS. Ces données peuvent contenir des informations permettant d’accéder à d’autres machines du réseau.

Les attaquants ont ensuite installé plusieurs canaux de connexion à distance reposant notamment sur Chisel, revsocks et des tunnels Cloudflare. Cette redondance compliquait leur éviction du système.

Plus d’une douzaine de machines ont été ciblées

Le mouvement latéral s’est effectué à l’aide de WMI, un outil légitime de Windows qui peut être détourné pour exécuter des commandes à distance.

Les pirates auraient ainsi atteint plus d’une douzaine de systèmes. Ils ont également essayé de désinstaller les logiciels de sécurité présents sur les machines compromises.

Cette utilisation d’outils intégrés à Windows peut rendre l’attaque moins visible. Certaines commandes malveillantes ressemblent alors à des opérations d’administration ordinaires.

Microsoft Defender et les sauvegardes ont été neutralisés

Un script PowerShell a servi à désactiver Microsoft Defender, à supprimer ses définitions de menaces et à arrêter plusieurs services essentiels.

Le programme visait les solutions de sauvegarde, les bases de données et les plateformes de virtualisation. Au total, des services associés à 23 produits auraient été ciblés, parmi lesquels Veeam, VMware, Hyper-V, SQL Server, Oracle et PostgreSQL.

L’objectif était clair : réduire les possibilités de restauration avant de déclencher le chiffrement.

Le ransomware a été déployé en moins de 24 heures

La charge malveillante a été diffusée sur le réseau moins de 24 heures après le premier accès. Les pirates ont utilisé PsExec avec les privilèges SYSTEM pour lancer Spirals sur les machines compromises.

Le fichier portait le nom bitsadmin.exe, probablement pour se faire passer pour un utilitaire légitime de Windows.

Spirals est écrit en Rust et utilise un chiffrement AES-128. Pour les fichiers supérieurs à 5 Mo, il ne chiffre qu’une partie des données afin d’accélérer l’opération et de toucher davantage de systèmes en moins de temps.

Les données volées doivent être publiées sous six jours

Après le chiffrement, Spirals dépose une note de rançon nommée RECOVERY_SECTION.log sur le disque C:.

Les victimes sont invitées à négocier avec les attaquants. En l’absence de paiement, les données volées doivent être rendues publiques dans un délai de six jours.

Cette méthode repose sur une double extorsion : rendre les fichiers inutilisables tout en menaçant de divulguer les informations sensibles.

Les PME doivent détecter les premières étapes

Le danger principal ne vient pas uniquement du chiffrement final. À ce stade, les pirates ont souvent déjà volé des données, créé des comptes et désactivé les outils de protection.

Les entreprises doivent surveiller les connexions inhabituelles, l’activation soudaine du Bureau à distance, la création de comptes locaux, les extractions d’identifiants et l’arrêt des services de sauvegarde.

Les serveurs exposés sur Internet doivent être corrigés rapidement, limités aux seuls accès nécessaires et surveillés en permanence. Une attaque bouclée en moins d’une journée laisse très peu de temps à une équipe informatique pour réagir.

Spirals n’a été observé que dans une seule attaque

Les chercheurs n’ont identifié qu’un seul incident lié à Spirals pour le moment. Il est donc impossible de savoir si ce ransomware sera utilisé à grande échelle ou s’il a été développé pour une opération précise.

Cette incertitude ne réduit pas le risque. Les techniques utilisées sont déjà connues, faciles à reproduire et suffisamment rapides pour mettre en difficulté une entreprise en quelques heures.

Source : https://www.bleepingcomputer.com/news/security/new-spirals-ransomware-encrypts-victim-network-in-under-24-hours/

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Eric Thomas

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Voir tous les articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *