Microsoft a mis en garde contre une nouvelle vague d’attaques de ransomware CACTUS qui exploitent des leurres de publicité malveillante pour déployer DanaBot comme vecteur d’accès initial.
Les infections DanaBot ont conduit à « une activité pratique sur le clavier de la part de l’opérateur du ransomware Storm-0216 (Twisted Spider, UNC2198), aboutissant au déploiement du ransomware CACTUS », selon l’équipe Microsoft Threat Intelligence. dit dans une série de messages sur X (anciennement Twitter).
DanaBot, suivi par le géant de la technologie sous le nom de Storm-1044, est un outil multifonctionnel à l’instar d’Emotet, TrickBot, QakBot et IcedID, capable d’agir comme un voleur et un point d’entrée pour les charges utiles de l’étape suivante.
UNC2198, pour sa part, a déjà été observé infectant des points finaux avec IcedID pour déployer des familles de ransomwares telles que Maze et Egregor, comme détaillé par Mandiant, propriété de Google, en février 2021.
Selon Microsoft, l’acteur malveillant a également profité de l’accès initial fourni par les infections QakBot. Le passage à DanaBot est probablement le résultat d’une opération coordonnée des forces de l’ordre en août 2023 qui a détruit l’infrastructure de QakBot.
« La campagne Danabot actuelle, observée pour la première fois en novembre, semble utiliser une version privée du malware voleur d’informations au lieu de l’offre de malware en tant que service », a ajouté Redmond.
Les informations d’identification collectées par le logiciel malveillant sont transmises à un serveur contrôlé par un acteur, suivi d’un mouvement latéral via des tentatives de connexion RDP et finalement de la transmission de l’accès à Storm-0216.
Cette divulgation intervient quelques jours après qu’Arctic Wolf a révélé une autre série d’attaques de ransomware CACTUS qui exploitent activement les vulnérabilités critiques d’une plate-forme d’analyse de données appelée Qlik Sense pour accéder aux réseaux d’entreprise.
Cela fait également suite à la découverte d’une nouvelle souche de ransomware macOS baptisée Tortue qui est écrit dans le langage de programmation Go et est signé avec une signature ad hoc, empêchant ainsi son exécution au lancement en raison des protections Gatekeeper.