Les chercheurs trouvent les liens APE de BlackEnergy dans le code ExPetr | Threatpost

Les chercheurs ont trouvé des liens entre le groupe BlackEnergy APT et les acteurs de la menace derrière les logiciels malveillants ExPetr utilisés dans les attaques mondiales du mois dernier. Selon les chercheurs de Kaspersky Lab, il existe de fortes similitudes entre les versions anciennes du ransomware KillDisk de BlackEnergy par rapport au code ExPetr.

Parallels a d'abord été identifié dans les extensions ciblées utilisées par BlackEnergy et ExPetr, ont indiqué des chercheurs. Kaspersky Lab, travaillant en parallèle avec les chercheurs de Palo Alto Networks, a déclaré qu'ils «se sont concentrés sur la liste des extensions similaires et sur le code responsable de l'analyse du système de fichiers pour le chiffrement ou l'effacement»

"Ensemble, nous avons essayé de créer une liste de fonctionnalités que nous pourrions utiliser pour créer une règle YARA pour détecter les essuie-glaces ExPetr et BlackEnergy", ont écrit des chercheurs de l'équipe mondiale de recherche et d'analyse de Kaspersky Lab dans un article publié vendredi dernier. YARA est un outil de médecine légale utilisé pour examiner des fichiers et des répertoires disparus et trouver des similitudes basées sur la signature.

"Nous avons pris les résultats des comparaisons automatiques de codes et les avons jumelées à une signature qui correspond parfaitement à la forme des deux dans l'espoir de déterrer des similitudes. Ce que nous avons proposé est une combinaison de code générique et de cordes intéressantes que nous avons mises en place dans une règle cohérente pour désigner à la fois les composants BlackEnergy KillDisk et les échantillons ExPetr ", ont écrit des chercheurs.

Cet examen minutieux du code utilisé par BlackEnergy dans son système de ransomware KillDisk et ExPetr a permis une "faible confiance" …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils