Les acteurs menaçants ayant des liens présumés avec la Chine et la Corée du Nord ont été associés à des attaques de ransomware et de cryptage de données ciblant les secteurs gouvernementaux et les infrastructures critiques à travers le monde entre 2021 et 2023.
Alors qu’un groupe d’activités a été associé au ChamelGang (alias CamoFei), le deuxième groupe chevauche des activités précédemment attribuées à des groupes parrainés par les États chinois et nord-coréens, aux sociétés de cybersécurité SentinelOne et Recorded Future. dit dans un rapport conjoint partagé avec The Hacker News.
Cela inclut les attaques de ChamelGang visant l’Institut indien des sciences médicales (AIIMS) et la présidence du Brésil en 2022 à l’aide du ransomware CatB, ainsi que le ciblage d’une entité gouvernementale d’Asie de l’Est et d’une organisation aéronautique du sous-continent indien.
« Les acteurs de la menace dans l’écosystème du cyberespionnage s’engagent dans une tendance de plus en plus inquiétante consistant à utiliser les ransomwares comme étape finale de leurs opérations à des fins de gain financier, de perturbation, de distraction, d’attribution erronée ou de suppression de preuves », chercheurs en sécurité Aleksandar Milenkoski et Julian. -Ferdinand Vögele a dit.
Dans ce contexte, les attaques de ransomware servent non seulement d’exutoire au sabotage, mais permettent également aux acteurs malveillants de brouiller les pistes en détruisant des artefacts qui pourraient autrement alerter les défenseurs de leur présence.
ChamelGang, documenté pour la première fois par Positive Technologies en 2021, est considéré comme un groupe lié à la Chine qui opère avec des motivations aussi variées que la collecte de renseignements, le vol de données, le gain financier, les attaques par déni de service (DoS) et les opérations d’information. selon à la société taïwanaise de cybersécurité TeamT5.
Il est connu pour posséder un large éventail d’outils dans son arsenal, notamment BeaconLoader, Cobalt Strike, des portes dérobées comme AukDoor et DoorMe, et une souche de ransomware connue sous le nom de CatB, qui a été identifiée comme utilisée dans des attaques ciblant le Brésil et l’Inde sur la base de points communs dans le monde. demande de rançon, le format de l’adresse e-mail du contact, l’adresse du portefeuille de crypto-monnaie et l’extension du nom de fichier des fichiers cryptés.
Les attaques observées en 2023 ont également exploité une version mise à jour de BeaconLoader pour lancer Cobalt Strike pour des activités de reconnaissance et de post-exploitation telles que la suppression d’outils supplémentaires et l’exfiltration du fichier de base de données NTDS.dit.
En outre, il convient de souligner que les logiciels malveillants personnalisés utilisés par ChamelGang, tels que DoorMe et MGDrive (dont la variante macOS s’appelle Gimmick), ont également été liés à d’autres groupes de menaces chinois comme REF2924 et Storm Cloud, faisant encore une fois allusion à la possibilité d’un « Quartier-maître numérique fournissant des logiciels malveillants à des groupes opérationnels distincts. »
L’autre ensemble d’intrusions implique l’utilisation de Jetico BestCrypt et Microsoft BitLocker dans des cyberattaques affectant divers secteurs industriels en Amérique du Nord, en Amérique du Sud et en Europe. On estime que pas moins de 37 organisations, principalement du secteur manufacturier américain, ont été ciblées.
Les tactiques observées par les deux sociétés de cybersécurité sont les suivantes : cohérent avec ceux attribués à une équipe de hackers chinois baptisée APT41 et à un acteur nord-coréen connu sous le nom d’Andariel, en raison de la présence d’outils comme le shell Web China Chopper et d’une porte dérobée connue sous le nom de DTrack.
« Les opérations de cyberespionnage déguisées en activités de ransomware offrent aux pays adversaires l’occasion d’affirmer un déni plausible en attribuant les actions à des acteurs cybercriminels indépendants plutôt qu’à des entités parrainées par l’État », ont déclaré les chercheurs.
« L’utilisation de ransomwares par des groupes de cyberespionnage brouille les frontières entre cybercriminalité et cyberespionnage, offrant ainsi aux adversaires des avantages d’un point de vue stratégique et opérationnel. »