Un acteur menaçant naissant connu sous le nom de Goules des cryptes a été lié à une série de cyberattaques ciblant des entreprises et des agences gouvernementales russes avec des ransomwares dans le double objectif de perturber les opérations commerciales et de réaliser des gains financiers.
« Le groupe examiné dispose d’une boîte à outils qui comprend des utilitaires tels que Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec et autres », Kaspersky dit. « Comme charge utile finale, le groupe a utilisé les célèbres ransomwares LockBit 3.0 et Babuk. »
Les victimes des attaques malveillantes proviennent d’agences gouvernementales, ainsi que d’entreprises minières, énergétiques, financières et de vente au détail situées en Russie.
Le fournisseur russe de cybersécurité a déclaré qu’il n’avait pu identifier le vecteur d’intrusion initial que dans deux cas, les acteurs malveillants utilisant les informations de connexion d’un sous-traitant pour se connecter aux systèmes internes via VPN.
Les connexions VPN proviendraient d’adresses IP associées au réseau d’un fournisseur d’hébergement russe et au réseau d’un entrepreneur, ce qui indique une tentative de passer inaperçue en militarisant les relations de confiance. On pense que les réseaux des sous-traitants sont violés au moyen de services VPN ou de failles de sécurité non corrigées.
La phase d’accès initiale est suivie par l’utilisation des utilitaires NSSM et Localtonet pour maintenir l’accès à distance, avec une exploitation ultérieure facilitée par des outils tels que les suivants :
- XenAllPasswordPro pour récolter les données d’authentification
- Porte dérobée CobInt
- Mimikatz va extraire les informations d’identification des victimes
- dumper.ps1 pour vider les tickets Kerberos du cache LSA
- MiniDump pour extraire les informations de connexion de la mémoire de lsass.exe
- cmd.exe pour copier les informations d’identification stockées dans les navigateurs Google Chrome et Microsoft Edge
- PingCastle pour la reconnaissance du réseau
- PAExec pour exécuter des commandes à distance
- AnyDesk et réchausse Proxy SOCKS5 pour l’accès à distance
Les attaques se terminent par le cryptage des données système à l’aide des versions accessibles au public de LockBit 3.0 pour Windows et Babuk pour Linux/ESXi, tout en prenant également des mesures pour crypter les données présentes dans la corbeille afin d’empêcher la récupération.
« Les attaquants laissent une demande de rançon avec un lien contenant leur identifiant dans le service de messagerie Session pour un contact ultérieur », a déclaré Kaspersky. « Ils se connecteraient au serveur ESXi via SSH, téléchargeraient Babuk et lanceraient le processus de cryptage des fichiers dans les machines virtuelles. »
Le choix d’outils et d’infrastructures de Crypt Ghouls dans ces attaques recoupe des campagnes similaires menées par d’autres groupes ciblant la Russie ces derniers mois, notamment MorLock, BlackJack, Twelve, Shedding Zmiy (alias ExCobalt).
« Les cybercriminels exploitent des informations d’identification compromises, appartenant souvent à des sous-traitants, et des outils open source populaires », a déclaré la société. « La boîte à outils partagée utilisée dans les attaques contre la Russie rend difficile l’identification des groupes hacktivistes spécifiques impliqués. »
« Cela suggère que les acteurs actuels partagent non seulement leurs connaissances, mais aussi leurs boîtes à outils. Tout cela ne fait que rendre plus difficile l’identification des acteurs malveillants spécifiques derrière la vague d’attaques dirigées contre les organisations russes. »