Le gang de ransomware Magniber utilise désormais deux vulnérabilités d’Internet Explorer et des publicités malveillantes pour infecter les utilisateurs et crypter leurs appareils.
Les deux vulnérabilités d’Internet Explorer sont suivies sous les noms CVE-2021-26411 et CVE-2021-40444, les deux ayant un score de gravité CVSS v3 de 8,8.
Le premier, CVE-2021-26411, a été corrigé en mars 2021 et est une faille de corruption de mémoire déclenchée par la consultation d’un site Web spécialement conçu.
Le deuxième défaut, CVE-2021-40444, est une exécution de code à distance dans le moteur de rendu d’IE déclenchée par l’ouverture d’un document malveillant.
Les attaquants ont exploité CVE-2021-40444 comme un jour zéro avant que Microsoft ne le répare en septembre 2021.
Magniber changeant de focus
Le gang Magniber est connu pour son utilisation des vulnérabilités pour violer les systèmes et déployer leur ransomware.
En août, Magniber a été observé en train d’exploiter les vulnérabilités « PrintNightmare » pour violer les serveurs Windows, ce que Microsoft a mis du temps à résoudre en raison de leur impact sur l’impression.
L’activité la plus récente de Magniber se concentre sur l’exploitation des vulnérabilités d’Internet Explorer à l’aide de publicités malveillantes qui poussent les kits d’exploit, comme le confirme Sécurité de Tencent chercheurs qui ont identifié des charges utiles « fraîches ».
Une explication possible de ce changement est que Microsoft a largement corrigé les vulnérabilités « PrintNightmare » au cours des quatre derniers mois et a été fortement couvert par les médias, poussant les administrateurs à déployer des mises à jour de sécurité.
Une autre raison pour laquelle Magniber s’est peut-être tourné vers les failles d’Internet Explorer est qu’elles sont relativement faciles à déclencher, s’appuyant uniquement sur la stimulation de la curiosité du destinataire pour ouvrir un fichier ou une page Web.
Il peut sembler étrange de cibler un vieux navigateur impopulaire comme Internet Explorer. Cependant, StatCounter montre que 1,15 % des pages vues dans le monde proviennent toujours d’IE.
Bien qu’il s’agisse d’un faible pourcentage, StatCounter suit plus de 10 milliards de pages vues par mois, ce qui équivaut à 115 000 000 de pages vues par les utilisateurs d’Internet Explorer.
En outre, il est beaucoup plus difficile de cibler les navigateurs basés sur Firefox et Chromium, tels que Google Chrome et Microsoft Edge, car ils utilisent un mécanisme de mise à jour automatique qui protège rapidement les utilisateurs des vulnérabilités connues.
Menace pour les entreprises asiatiques
Magniber a commencé en 2017 en tant que successeur du ransomware Cerber, et au départ, il n’infectait que les utilisateurs de Corée du Sud.
Le groupe a ensuite élargi son champ de ciblage et a commencé à infecter également les systèmes chinois (y compris Taïwan et Hong Kong), singapourien et malais.
Ce périmètre s’est solidifié, et aujourd’hui, Magniber est une nuisance presque exclusivement pour les entreprises et organisations asiatiques.
Depuis son lancement, le ransomware Magniber a fait l’objet d’un développement très actif et sa charge utile a été complètement réécrite trois fois.
Pour le moment, il n’est pas craqué, il n’y a donc pas de décrypteur pour vous aider à restaurer les fichiers qui ont été cryptés avec cette souche.
Enfin, Magniber ne suit pas la tendance du vol de fichiers et de la double extorsion, de sorte que les dégâts de leurs attaques se limitent au cryptage des fichiers.
En tant que tel, effectuer des sauvegardes régulières sur des systèmes sécurisés et isolés est un moyen très efficace de faire face à cette menace particulière.