Les acteurs de la menace derrière le schéma RansomHub Ransomware-as-a-Service (RAAS) ont été observés en train de tirer parti des défauts de sécurité désormais réglés dans Microsoft Active Directory et le protocole Netlogon pour dégénérer les privilèges et obtenir un accès non autorisé au contrôleur de domaine d’un réseau de victime dans le cadre des privilèges et à un accès non autorisé au contrôleur de domaine d’un réseau de victime dans le cadre des privilège leur stratégie post-compromise.

“RansomHub a ciblé plus de 600 organisations dans le monde, couvrant des secteurs tels que les soins de santé, les finances, le gouvernement et les infrastructures critiques, ce qui l’a établi comme le groupe de ransomware le plus actif en 2024”, analystes du groupe-IB dit Dans un rapport exhaustif publié cette semaine.

Le groupe Ransomware a émergé pour la première fois en février 2024, acquérant le code source associé au gang Raas Knight (anciennement cyclope) désormais disparu du Forum de cybercriminalité rampe pour accélérer ses opérations. Environ cinq mois plus tard, une version mise à jour du casier a été annoncée sur le marché illicite avec des capacités pour crypter à distance les données via le protocole SFTP.

Il est disponible dans plusieurs variantes qui sont capables de chiffrer des fichiers sur les serveurs Windows, VMware ESXi et SFTP. RansomHub a également été observé en recrutant activement des affiliés auprès de groupes Lockbit et BlackCat dans le cadre d’un programme de partenariat, indiquant une tentative de capitaliser sur les actions d’application de la loi ciblant ses concurrents.

Cybersécurité

Dans l’incident analysé par la Singapourien Cybersecurity Company, l’acteur de menace aurait tenté sans succès d’exploiter un défaut critique impactant les appareils Pan-OS de Palo Alto Networks (CVE-2024-3400) en utilisant une preuve de concept accessible en bourse (POC (POC-POC (POC accessible en bours ), avant finalement de violer le réseau des victimes au moyen d’une attaque par force brute contre le service VPN.

“Cette tentative de force brute était basée sur un dictionnaire enrichi de plus de 5 000 noms d’utilisateur et mots de passe”, ont déclaré les chercheurs. “L’attaquant a finalement eu accès via un compte par défaut fréquemment utilisé dans les solutions de sauvegarde de données, et le périmètre a finalement été violé.”

L’accès initial a ensuite été maltraité pour effectuer l’attaque des ransomwares, le cryptage des données et l’exfiltration se produisant dans les 24 heures suivant le compromis.

En particulier, cela a impliqué l’armement de deux défauts de sécurité connus dans Active Directory (CVE-2021-42278 AKA NOPAC) et le protocole Netlogon (CVE-2020-1472 AKA Zérologon) pour prendre le contrôle du contrôleur de domaine et effectuer un mouvement latéral à travers le réseau.

“L’exploitation des vulnérabilités susmentionnées a permis à l’attaquant d’obtenir un accès privilégié complet au contrôleur de domaine, qui est le centre nerveux d’une infrastructure Windows Microsoft”, ont déclaré les chercheurs.

“Après l’achèvement des opérations d’exfiltration, l’attaquant a préparé l’environnement pour la phase finale de l’attaque. L’attaquant a fonctionné pour rendre toutes les données de l’entreprise, enregistrées sur les divers NAS, complètement illisibles et inaccessibles, ainsi que impermissibles pour restaurer, avec, avec, avec, avec, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une restauration, avec une nouvelle restauration avec le but de forcer la victime à payer la rançon pour récupérer ses données. “

Un autre aspect notable de l’attaque est l’utilisation de Pchunter pour arrêter et contourner les solutions de sécurité des points finaux, ainsi que Filezilla pour l’exfiltration des données.

“Les origines du groupe RansomHub, de ses opérations offensives et de ses caractéristiques de chevauchement avec d’autres groupes confirment l’existence d’un écosystème de cybercriminalité vif”, ont déclaré les chercheurs.

“Cet environnement prospère sur le partage, la réutilisation et le changement de marque des outils et des codes source, alimentant un marché souterrain robuste où des victimes de haut niveau, des groupes infâmes et des sommes importantes jouent des rôles centraux.”

Le développement intervient alors que la société de cybersécurité a détaillé le fonctionnement interne d’un “formidable opérateur RAAS” connu sous le nom de Lynx, en mettant en lumière leur flux de travail d’affiliation, leur arsenal de ransomware de plate-forme multiplateforme pour les environnements Windows, Linux et ESXi et des modes de chiffrement personnalisables.

Une analyse des versions Windows et Linux du ransomware montre qu’il ressemble étroitement aux ransomwares incontournables, indiquant que les acteurs de la menace ont probablement acquis le code source de ce dernier.

“Les affiliés sont incités à une part de 80% du produit de la rançon, reflétant une stratégie compétitive et axée sur le recrutement”, il dit. “Lynx a récemment ajouté plusieurs modes de cryptage:« rapide »,« médium »,« lent »et« entier », donnant aux affiliés la liberté d’ajuster le compromis entre la vitesse et la profondeur du cryptage des fichiers.»

“Les postes de recrutement du groupe sur les forums souterrains mettent l’accent sur un processus de vérification rigoureux pour les Pentesters et les équipes d’intrusion qualifiées, mettant en évidence l’accent mis par Lynx sur la sécurité opérationnelle et le contrôle de la qualité. Ils offrent également des` `centres d’appels ” pour harceler les victimes et des solutions de stockage avancées pour les affiliés qui réalisent constamment les bénéfices de la profit résultats.”

Top ransomware

Au cours des dernières semaines, des attaques motivées financières ont également été observées à l’aide du malware de botnet Phorpiex (AKA Trik) propagée via des e-mails de phishing pour livrer le ransomware de verrouillage.

“Contrairement aux incidents de ransomware de verrouillage passés, les acteurs de la menace se sont appuyés sur Phorpiex pour livrer et exécuter des ransomwares de verrouillage” noté dans une analyse. “Cette technique est unique car le déploiement des ransomwares se compose généralement d’opérateurs humains menant l’attaque.”

Un autre vecteur d’infection initial significatif concerne l’exploitation d’appareils VPN non corrigées (par exemple, CVE-2021-20038) pour accéder aux appareils et hôtes du réseau interne et à déployer finalement les ransomwares ABYSS Locker.

Cybersécurité

Les attaques sont également caractérisées par l’utilisation d’outils de tunneling pour maintenir la persistance, ainsi que la mise à profit d’apporter vos propres techniques de conducteur vulnérable (BYOVD) pour désactiver les contrôles de protection des points de terminaison.

“Après avoir accédé à l’environnement et effectué une reconnaissance, ces outils de tunneling sont déployés stratégiquement sur des appareils réseau critiques, y compris les hôtes ESXi, les hôtes Windows, les appareils VPN et les appareils de stockage joint (NAS)” dit.

Top ransomware

“En ciblant ces appareils, les attaquants garantissent des canaux de communication robustes et fiables pour maintenir l’accès et orchestrer leurs activités malveillantes à travers le réseau compromis.”

Le paysage des ransomwares – dirigée par les acteurs de la menace nouvelle et ancienne – continue de rester dans un état de flux, avec des attaques pivotant du cryptage traditionnel au vol de données et à l’extorsion, même si les victimes refusent de plus en plus de payer, entraînant une baisse des paiements en 2024.

“Des groupes comme RansomHub et Akira incitent désormais les données volées avec de grandes récompenses, ce qui rend ces tactiques assez lucratives”, entreprise de cybersécurité Huntress dit.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57