Le tristement célèbre groupe de cybercriminalité connu sous le nom de Araignée dispersée a incorporé des souches de ransomware telles que RansomHub et Qilin dans son arsenal, a révélé Microsoft.
Scattered Spider est le nom donné à un acteur malveillant connu pour ses stratagèmes sophistiqués d’ingénierie sociale visant à pénétrer des cibles et à établir une persistance en vue d’une exploitation ultérieure et du vol de données. Il a également pour habitude de cibler les serveurs VMWare ESXi et de déployer le ransomware BlackCat.
Il partage des points communs avec des groupes d’activités suivis par la communauté de cybersécurité au sens large sous les noms 0ktapus, Octo Tempest et UNC3944. Le mois dernier, il a été signalé qu’un membre clé du groupe avait été arrêté en Espagne.
RansomHub, qui est arrivé sur la scène plus tôt en février, a été évalué comme étant une nouvelle version d’une autre souche de ransomware appelée Knight, selon une analyse de Symantec, propriété de Broadcom, réalisée le mois dernier.
« RansomHub est une charge utile de ransomware en tant que service (RaaS) utilisée par de plus en plus d’acteurs malveillants, y compris ceux qui ont historiquement utilisé d’autres charges utiles de ransomware (parfois obsolètes) (comme BlackCat), ce qui en fait l’une des familles de ransomware les plus répandues aujourd’hui », a déclaré Microsoft. dit.
Le fabricant de Windows a déclaré avoir également observé RansomHub déployé dans le cadre de l’activité post-compromission par Manatee Tempest (alias DEV-0243, Evil Corp ou Indrik Spider) après l’accès initial obtenu par Mustard Tempest (alias DEV-0206 ou Purple Vallhund) via des infections FakeUpdates (alias Socgholish).
Il convient de mentionner ici que Mustard Tempest est un courtier d’accès initial qui a, dans le passé, utilisé FakeUpdates dans des attaques qui ont conduit à des actions ressemblant au comportement pré-ransomware associé à Evil Corp. Ces intrusions étaient également remarquables par le fait que FakeUpdates était délivré via des Rouge-gorge framboise infections.
Ce développement intervient dans un contexte d’émergence de nouvelles familles de ransomwares comme FakePenny (attribué à Moonstone Sleet), Brouillard (distribué par Storm-0844, qui a également propagé Akira), et Racine d’ombrele dernier en date ayant été observé ciblant des entreprises turques utilisant de fausses factures PDF.
« Alors que la menace des ransomwares continue d’augmenter, de s’étendre et d’évoluer, il est conseillé aux utilisateurs et aux organisations de suivre les meilleures pratiques de sécurité, en particulier l’hygiène des informations d’identification, le principe du moindre privilège et le Zero Trust », a déclaré Microsoft.