Brain Cipher
Brain Cipher Le ransomware est une variante de la famille des ransomwares LockBit qui a récemment fait son apparition dans le paysage indonésien de la cybersécurité.
L'origine de Brain Cipher
Brain Cipher a attiré l'attention à la suite d'une attaque très médiatisée contre le centre national de données indonésien (Pusat Data Nasional - PDN) le 20 juin 2024, qui a entraîné l'interruption de services publics essentiels, y compris l'immigration.
Dans leur déclaration publiée le 2 juillet 2024, le groupe a souligné que leur attaque était une démonstration de l'importance du financement de l'industrie de la cybersécurité et du recrutement de spécialistes qualifiés, affirmant que leurs actions n'étaient pas motivées par des considérations politiques mais plutôt par une forme de test de pénétration post-paiement.
Le groupe a tenu sa promesse et mis à disposition des clés de décryptage gratuitement, permettant aux victimes de restaurer leurs données cryptées sans avoir à payer de rançon.
Source de la capture d'écran : X
Cibles
Les cibles de Brain Cipher
Pays ciblés par Brain Cipher
Le groupe de ransomware a déjà montré sa préférence pour les organisations d'Asie du Sud-Est, en particulier l'Indonésie. Cependant, avec ses récentes attaques contre des victimes aux États-Unis et en Israël, il est évident que ses opérations s'étendent au-delà de cette région.
Secteurs d'activité ciblés par Brain Cipher
Brain Cipher Les rançongiciels ont principalement ciblé le secteur public, et plus particulièrement les infrastructures critiques. Ils ont récemment étendu leurs attaques aux secteurs de la finance et de l'industrie. L'attaque contre le PDN a démontré la capacité du groupe à perturber les services vitaux, provoquant un chaos généralisé et ayant un impact sur la sécurité publique.
Secteurs d'activité ciblés par Brain Cipher
Brain Cipher Les rançongiciels ont principalement ciblé le secteur public, et plus particulièrement les infrastructures critiques. Ils ont récemment étendu leurs attaques aux secteurs de la finance et de l'industrie. L'attaque contre le PDN a démontré la capacité du groupe à perturber les services vitaux, provoquant un chaos généralisé et ayant un impact sur la sécurité publique.
Les victimes de Brain Cipher
La victime la plus notable du ransomware Brain Cipher à ce jour est le Pusat Data Nasional (PDN) en Indonésie. Cette attaque a entraîné l'interruption des services d'immigration et d'autres services publics, affectant 210 institutions. L'étendue de la victimologie du groupe fait toujours l'objet d'une enquête.
Stats source : ransomware.live
Méthode d'attaque
Méthode d'attaque de Brain Cipher
Brain Cipher obtient un accès initial par le biais de campagnes de phishing. Des courriels trompeurs incitent les destinataires à télécharger et à exécuter des fichiers malveillants.
Le ransomware contourne le contrôle de compte d'utilisateur (T1548.002) pour obtenir des privilèges élevés dans les systèmes ciblés.
Tout comme ses techniques d'escalade des privilèges, il contourne le contrôle des comptes d'utilisateurs (T1548.002) afin d'éviter d'être détecté par les systèmes de sécurité.
Brain Cipher vole des cookies de session web (T1539), des informations d'identification provenant de navigateurs web (T1555.003) et des informations d'identification stockées dans des fichiers (T1552.001) afin de poursuivre l'infiltration du réseau.
Brain Cipher recherche des informations sur le système (T1082), interroge le registre (T1012) et découvre les logiciels installés (T1518) afin de cartographier l'environnement infecté.
Le ransomware se déplace latéralement dans le réseau pour maximiser son impact, bien que les techniques spécifiques à cette étape ne soient pas détaillées.
Il collecte des informations sensibles à partir des systèmes infectés, préparant ainsi l'exfiltration potentielle de données.
Brain Cipher utilise Windows Command Shell (T1059.003) et l'exécution par l'utilisateur de fichiers malveillants (T1204.002) pour exécuter ses charges utiles.
Brain Cipher se livre à une double extorsion en exfiltrant des données sensibles et en menaçant de les rendre publiques si la rançon n'est pas payée.
La principale tactique d'impact est le chiffrement des données (T1486), qui rend les données de la victime inaccessibles jusqu'au paiement de la rançon.
Accès Initial
Brain Cipher obtient un accès initial par le biais de campagnes de phishing. Des courriels trompeurs incitent les destinataires à télécharger et à exécuter des fichiers malveillants.
Élévation de privilèges
Le ransomware contourne le contrôle de compte d'utilisateur (T1548.002) pour obtenir des privilèges élevés dans les systèmes ciblés.
Défense Evasion
Tout comme ses techniques d'escalade des privilèges, il contourne le contrôle des comptes d'utilisateurs (T1548.002) afin d'éviter d'être détecté par les systèmes de sécurité.
Accès aux identifiants
Brain Cipher vole des cookies de session web (T1539), des informations d'identification provenant de navigateurs web (T1555.003) et des informations d'identification stockées dans des fichiers (T1552.001) afin de poursuivre l'infiltration du réseau.
Découverte
Brain Cipher recherche des informations sur le système (T1082), interroge le registre (T1012) et découvre les logiciels installés (T1518) afin de cartographier l'environnement infecté.
Mouvement latéral
Le ransomware se déplace latéralement dans le réseau pour maximiser son impact, bien que les techniques spécifiques à cette étape ne soient pas détaillées.
Collection
Il collecte des informations sensibles à partir des systèmes infectés, préparant ainsi l'exfiltration potentielle de données.
Exécution
Brain Cipher utilise Windows Command Shell (T1059.003) et l'exécution par l'utilisateur de fichiers malveillants (T1204.002) pour exécuter ses charges utiles.
Exfiltration
Brain Cipher se livre à une double extorsion en exfiltrant des données sensibles et en menaçant de les rendre publiques si la rançon n'est pas payée.
Impact
La principale tactique d'impact est le chiffrement des données (T1486), qui rend les données de la victime inaccessibles jusqu'au paiement de la rançon.
MITRE ATT&CK Mapping
Les TTPs utilisées par Brain Cipher
Cette liste de TTP n'est pas exhaustive car nous cherchons encore à bien comprendre le comportement de Brain Cipher; elle sera mise à jour régulièrement au fur et à mesure que nous recueillerons de nouvelles informations.
Source : Peris.ai
TA0001: Initial Access
No items found.
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
T1562
Impair Defenses
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
T1012
Query Registry
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter Brain Cipher avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware Brain Cipher ?
Brain Cipher est un groupe de ransomware connu pour cibler les grandes organisations et provoquer d'importantes perturbations par le chiffrement des données et les demandes de rançon.
Comment Brain Cipher Ransomware obtient-il l'accès initial ?
Le groupe utilise principalement les campagnes phishing pour inciter les victimes à télécharger et à exécuter des fichiers malveillants.
Quels sont les secteurs les plus exposés aux attaques de Brain Cipher ?
Les organisations du secteur public et les infrastructures critiques sont exposées à un risque élevé, comme l'a montré l'attaque contre le centre national de données de l'Indonésie.
Quelles mesures défensives les organisations peuvent-elles prendre contre Brain Cipher?
La mise en œuvre d'une formation de sensibilisation à phishing , l'utilisation d'une protection avancée endpoint et la mise à jour des correctifs de sécurité peuvent contribuer à atténuer le risque.
Comment le ransomware Brain Cipher échappe-t-il à la détection ?
Il contourne le contrôle de compte d'utilisateur et utilise des outils système légitimes tels que Windows Command Shell pour éviter d'être détecté.
Que doit faire une organisation si elle est infectée par Brain Cipher?
Isolez les systèmes touchés, informez les autorités policières et consultez des experts en cybersécurité avant d'envisager le paiement d'une rançon.
Le site Brain Cipher se livre-t-il à l'exfiltration de données ?
Oui, Brain Cipher utilise une double extorsion en exfiltrant des données et en menaçant de les divulguer si la rançon n'est pas payée.
Quelle a été l'importance de l'attaque contre le centre national de données de l'Indonésie ?
L'attaque a perturbé les services d'immigration et touché 210 institutions, mettant en évidence la capacité du ransomware à avoir un impact à grande échelle.
Quel rôle jouent les solutions de détection et de réponse étendues (XDR) dans la lutte contre Brain Cipher?
Les solutions XDR offrent des capacités complètes de détection et de réponse aux menaces, permettant d'identifier et d'atténuer les attaques de ransomware telles que celles menées par Brain Cipher.
Le ransomware Brain Cipher présente-t-il des similitudes avec d'autres groupes de ransomware ?
Brain Cipher Les ransomwares partagent plusieurs similitudes avec LockBit 3.0, comme leurs techniques de chiffrement avancées et leurs doubles stratégies d'extorsion.