La fuite du constructeur de ransomware LockBit 3.0 l’année dernière a conduit les acteurs malveillants à abuser de l’outil pour générer de nouvelles variantes.
La société russe de cybersécurité Kaspersky a déclaré avoir détecté une intrusion de ransomware qui déployait une version de LockBit mais avec une procédure de demande de rançon nettement différente.
« L’attaquant à l’origine de cet incident a décidé d’utiliser une demande de rançon différente avec un titre lié à un groupe jusqu’alors inconnu, appelé NATIONAL HAZARD AGENCY », ont déclaré les chercheurs en sécurité Eduardo Ovalle et Francesco Figurelli. dit.
La demande de rançon remaniée précisait directement le montant à payer pour obtenir les clés de décryptage, et dirigeait les communications vers un service Tox et par courrier électronique, contrairement au groupe LockBit, qui ne mentionne pas le montant et utilise sa propre plateforme de communication et de négociation.
La NATIONAL HAZARD AGENCY est loin d’être le seul gang de cybercriminalité à utiliser le constructeur LockBit 3.0 divulgué. Parmi les autres acteurs malveillants connus pour en tirer parti, citons Bl00dy et Buhti.
Kaspersky a indiqué avoir détecté un total de 396 échantillons LockBit distincts dans sa télémétrie, dont 312 artefacts ont été créés à l’aide des constructeurs divulgués. Pas moins de 77 échantillons ne font aucune référence à « LockBit » dans la demande de rançon.
« La plupart des paramètres détectés correspondent à la configuration par défaut du constructeur, seuls certains contiennent des changements mineurs », ont indiqué les chercheurs. « Cela indique que les échantillons ont probablement été développés pour des besoins urgents ou peut-être par des acteurs paresseux. »
La divulgation intervient alors que Netenrich s’est penché sur une souche de ransomware appelée ADHUBLLKA qui a changé de nom à plusieurs reprises depuis 2019 (BIT, LOLKEK, OBZ, U2K et TZW), tout en ciblant les particuliers et les petites entreprises en échange de maigres paiements compris entre 800 $ et 1 600 $. de chaque victime.
Bien que chacune de ces itérations comporte de légères modifications des schémas de cryptage, des demandes de rançon et des méthodes de communication, une inspection plus approfondie les a toutes liées à ADHUBLLKA en raison des similitudes du code source et de l’infrastructure.
« Lorsqu’un ransomware réussit, il est courant de voir des cybercriminels utiliser les mêmes échantillons de ransomware – en modifiant légèrement leur base de code – pour piloter d’autres projets », a déclaré le chercheur en sécurité Rakesh Krishnan. dit.
« Par exemple, ils peuvent modifier le schéma de cryptage, les notes de rançon ou les canaux de communication de commande et de contrôle (C2), puis se rebaptiser comme un « nouveau » ransomware. »
Les ransomwares restent un écosystème en évolution activeconstatant de fréquents changements de tactique et de ciblage pour se concentrer de plus en plus sur les environnements Linux utilisant des familles telles que Trigona, Monti et Akira, cette dernière étant partage des liens aux acteurs menaçants affiliés à Conti.
Akira a également été associé à des attaques utilisant les produits VPN Cisco comme vecteur d’attaque pour obtenir un accès non autorisé aux réseaux d’entreprise. Cisco a depuis reconnu que les acteurs de la menace ciblent les VPN Cisco qui ne sont pas configurés pour l’authentification multifacteur.
« Les attaquants se concentrent souvent sur l’absence ou les vulnérabilités connues de l’authentification multifacteur (MFA) et les vulnérabilités connues des logiciels VPN », a déclaré le major des équipements réseau. dit.
« Une fois que les attaquants ont pris pied dans un réseau cible, ils tentent d’extraire les informations d’identification via les sauvegardes LSASS (Local Security Authority Subsystem Service) pour faciliter les déplacements ultérieurs au sein du réseau et élever les privilèges si nécessaire. »
Ce développement intervient également dans un contexte augmentation record des attaques de ransomwaresle groupe de ransomware Cl0p ayant piraté 1 000 organisations connues en exploitant les failles de l’application MOVEit Transfer pour obtenir un accès initial et crypter les réseaux ciblés.
Les entités basées aux États-Unis représentent 83,9 % des entreprises victimes, suivies par l’Allemagne (3,6 %), le Canada (2,6 %) et le Royaume-Uni (2,1 %). Plus de 60 millions de personnes auraient été touchées par la campagne d’exploitation massive qui a débuté en mai 2023.
Cependant, le rayon de souffle du attaque de ransomware de la chaîne d’approvisionnement sera probablement beaucoup plus élevé. Les estimations montrent que les auteurs de la menace devraient tirer des bénéfices illicites de l’ordre de 75 à 100 millions de dollars grâce à leurs activités.
« Bien que la campagne MOVEit puisse avoir un impact direct sur plus de 1 000 entreprises, et un ordre de grandeur plus indirect, un très très faible pourcentage de victimes ont pris la peine d’essayer de négocier, et encore moins d’envisager de payer », a déclaré Coveware. dit.
« Ceux qui ont payé ont payé beaucoup plus que les campagnes CloP précédentes, et plusieurs fois plus que le montant moyen mondial de la rançon de 740 144 $ (+ 126 % par rapport au premier trimestre 2023). »
De plus, selon le rapport Sophos 2023 Active Adversary, le temps d’attente médian pour les incidents de ransomware est passé de neuf jours en 2022 à cinq jours au premier semestre 2023, ce qui indique que « les gangs de ransomware évoluent plus rapidement que jamais ».
En revanche, le temps d’attente médian pour les incidents non liés aux ransomwares est passé de 11 à 13 jours. La durée de séjour maximale observée au cours de cette période était de 112 jours.
« Dans 81 % des attaques de ransomware, la charge utile finale a été lancée en dehors des heures de travail traditionnelles, et pour celles qui ont été déployées pendant les heures de bureau, seules cinq ont eu lieu un jour de semaine », explique la société de cybersécurité. dit. « Près de la moitié (43 %) des attaques de ransomware ont été détectées vendredi ou samedi. »