Sylvain Le Roux
Les experts en cybersécurité ont récemment détecté une augmentation de l’activité de ransomware associée aux opérateurs de ransomware BlackCat. Le groupe utilise un nouveau modus operandi impliquant la publicité malveillante, une stratégie qui utilise la publicité en ligne pour diffuser des logiciels malveillants. Cette approche consiste généralement à détourner un ensemble de mots-clés choisis pour afficher des publicités contrefaites sur les pages de résultats de recherche Bing et Google, dans le but de rediriger les utilisateurs sans méfiance vers des pages nuisibles.
Les cybercriminels distribuent des installateurs malveillants de l’application de transfert de fichiers WinSCP en créant des pages Web clonées d’organisations légitimes. L’idée est d’inciter les utilisateurs à la recherche d’applications comme WinSCP à télécharger des logiciels malveillants, en particulier une porte dérobée contenant une balise Cobalt Strike qui se connecte à un serveur distant pour des opérations de suivi. Les attaquants utilisent également des outils légitimes comme AdFind pour faciliter la découverte du réseau.
Une fois la porte dérobée établie, l’accès est ensuite exploité pour télécharger divers programmes de reconnaissance, d’énumération (comme PowerView), de déplacement latéral (comme PsExec), de contournement de logiciel antivirus (KillAV BAT) et d’exfiltration de données client (client PuTTY Secure Copy) . Il a également été observé que l’utilisation de l’outil d’évasion de défense Terminator falsifiait les logiciels de sécurité via une attaque BYOVD (Bring Your Own Vulnerable Driver).
Dans la chaîne d’attaque spécifique détaillée par la société de cybersécurité Trend Micro, les acteurs de la menace ont réussi à voler les privilèges d’administrateur de haut niveau pour mener des activités de post-exploitation. Ils ont également tenté de configurer la persistance à l’aide d’outils de surveillance et de gestion à distance comme AnyDesk et d’accéder à des serveurs de sauvegarde. Si l’intervention avait été demandée plus tard, l’entreprise aurait probablement été considérablement affectée, d’autant plus que les acteurs de la menace avaient déjà obtenu un accès initial aux privilèges d’administrateur de domaine et avaient commencé à établir des portes dérobées et la persistance.
Cette stratégie n’est pas un développement nouveau dans le monde de la cybercriminalité. La plate-forme Google Ads a été exploitée dans le passé par des acteurs de la menace pour diffuser des logiciels malveillants. En novembre 2022, Microsoft a divulgué une campagne d’attaque qui a déployé BATLOADER via le service de publicité, qui a ensuite été utilisé pour supprimer le rançongiciel Royal.
Dans d’autres nouvelles sur les ransomwares, la société tchèque de cybersécurité Avast a publié un décrypteur gratuit pour le tout nouveau ransomware Akira afin d’aider les victimes à récupérer leurs données sans avoir à payer les opérateurs. Ce ransomware, qui est apparu pour la première fois en mars 2023, présente des similitudes avec le ransomware Conti v2, laissant entendre la possibilité que les auteurs du malware aient été inspirés par les sources Conti divulguées. Le ransomware a élargi son empreinte cible pour inclure les systèmes Linux.
Le syndicat Conti/TrickBot, également connu sous le nom de Gold Ulrick ou ITG23, continue d’exister malgré une série d’événements perturbateurs suite à l’invasion russe de l’Ukraine en mai 2022. Le groupe e-crime, désormais composé d’entités plus petites, utilise des crypteurs partagés et infrastructures pour distribuer leurs marchandises. IBM Security X-Force a récemment noté que ces crypteurs, qui sont des applications conçues pour crypter et masquer les logiciels malveillants afin d’échapper à la détection par les scanners antivirus et d’entraver l’analyse, sont utilisés pour diffuser de nouvelles souches de logiciels malveillants.
L’écosystème de la cybercriminalité est de nature dynamique, les cyberacteurs apparaissant, disparaissant et parfois s’associant, fermant ou rebaptisant leurs programmes à motivation financière. Malgré ces changements, les ransomwares restent une menace constante. Cela inclut l’émergence d’un nouveau groupe de rançongiciels en tant que service (RaaS) appelé Rhysida, qui cible principalement les secteurs de l’éducation, du gouvernement, de la fabrication et de la technologie en Europe occidentale, en Amérique du Nord et du Sud et en Australie. Rhysida, dans ses premiers stades de développement, est une application de ransomware cryptographique Windows exécutable portable (PE) 64 bits compilée à l’aide de MinGW/GCC.
