Microsoft a annoncé jeudi avoir trouvé une nouvelle version du Chat noir ransomware (alias ALPHV et Noberus) qui intègre des outils comme Impacket et RemCom pour faciliter les déplacements latéraux et l’exécution de code à distance.
« Le Outil Impacket dispose de modules de vidage d’informations d’identification et d’exécution de services à distance qui pourraient être utilisés pour un déploiement à grande échelle du rançongiciel BlackCat dans des environnements cibles », a déclaré l’équipe de renseignement sur les menaces de l’entreprise. dit dans une série de messages sur X (anciennement Twitter).
« Cette version BlackCat a également le Outil de piratage RemCom intégré dans l’exécutable pour l’exécution de code à distance. Le fichier contient également des informations d’identification de cible compromises codées en dur que les acteurs utilisent pour les mouvements latéraux et le déploiement ultérieur de ransomwares. »
RemCom, présenté comme une alternative open source à PsExec, a été utilisé par des acteurs de la menace des États-nations chinois et iraniens comme Dalbit et hanneton (alias Remix Kitten) pour se déplacer dans les environnements des victimes dans le passé.
Redmond a déclaré avoir commencé à observer la nouvelle variante dans les attaques menées par une filiale de BlackCat en juillet 2023.
Le développement vient plus de deux mois après qu’IBM Security X-Force a divulgué les détails de la version mise à jour de BlackCat, appelée Sphynx, qui est apparue pour la première fois en février 2023 avec une vitesse de cryptage et une furtivité améliorées, soulignant les efforts continus déployés par les acteurs de la menace pour affiner et réorganiser le ransomware.
« L’échantillon de rançongiciel BlackCat contient plus qu’une simple fonctionnalité de rançongiciel, mais peut fonctionner comme une » boîte à outils « », a noté IBM Security X-Force fin mai 2023. « Une chaîne supplémentaire suggère que l’outillage est basé sur les outils d’Impacket. »
Le groupe de cybercriminalité, qui a lancé son opération en novembre 2021, est marqué par une évolution constante, ayant récemment publié un API de fuite de données pour augmenter la visibilité de ses attaques. D’après Rapid7 Examen des menaces en milieu d’année pour 2023, BlackCat a été attribué à 212 attaques de rançongiciels sur un total de 1 500.
Ce n’est pas seulement BlackCat, car Cuba (alias COLDRAW) groupe de menaces de rançongiciels a également été observé utilisant un ensemble d’outils d’attaque complet englobant BUGHATCH, un téléchargeur personnalisé ; BURNTCIGAR, un tueur d’antimalware ; Wedgecut, un utilitaire d’énumération d’hôtes ; Metasploit ; et les cadres Cobalt Strike.
BURNTCIGAR, en particulier, propose des modifications sous le capot pour incorporer une liste hachée codée en dur de processus ciblés à terminer, probablement dans le but d’empêcher l’analyse.
L’une des attaques montées par le groupe début juin 2023 aurait militarisé CVE-2020-1472 (Zerologon) et CVE-2023-27532, une faille de haute gravité dans le logiciel Veeam Backup & Replication qui a déjà été exploitée par le Gang FIN7, pour l’accès initial.
Entreprise canadienne de cybersécurité BlackBerry dit il marque la « première utilisation observée par le groupe d’un exploit pour la vulnérabilité Veeam CVE-2023-27532 ».
« Les opérateurs cubains de rançongiciels continuent de recycler l’infrastructure réseau et d’utiliser un ensemble de base de TTP qu’ils ont subtilement modifié d’une campagne à l’autre, adoptant souvent des composants facilement disponibles pour mettre à niveau leur ensemble d’outils chaque fois que l’occasion se présente », a-t-il ajouté.
Les ransomwares restent une importante source d’argent pour les acteurs de la menace financièrement motivés, augmentant à la fois en sophistication et en quantité au cours du premier semestre 2023 par rapport à l’ensemble de 2022 malgré l’intensification des efforts des forces de l’ordre pour les éliminer.
Certains groupes ont également commencé à passer du chiffrement à l’exfiltration pure et à la rançon ou, alternativement, à recourir à la triple extorsion, dans laquelle les attaques vont au-delà du chiffrement et du vol de données pour faire chanter les employés ou les clients d’une victime et mener des attaques DDoS pour mettre plus de pression.
Une autre tactique notable est le ciblage des fournisseurs de services gérés (MSP) comme points d’entrée pour violer les réseaux d’entreprise en aval, comme en témoigne une campagne de ransomware Play visant les secteurs de la finance, des logiciels, du droit, de l’expédition et de la logistique, ainsi que les secteurs étatiques, locaux, entités tribales et territoriales (SLTT) aux États-Unis, en Australie, au Royaume-Uni et en Italie.
Le attaques effet de levier « Logiciel de surveillance et de gestion à distance (RMM) utilisé par les fournisseurs de services pour accéder directement à l’environnement d’un client, en contournant la majorité de ses défenses », Adlumin ditaccordant aux acteurs de la menace un accès privilégié et illimité aux réseaux.
L’abus répété de logiciels RMM légitimes par des acteurs malveillants a conduit le gouvernement américain à publier un plan de cyberdéfense pour atténuer les menaces pesant sur l’écosystème RMM.
« Les acteurs de la cyber-menace peuvent s’implanter via le logiciel RMM dans les fournisseurs de services gérés (MSP) ou gérer les serveurs des fournisseurs de services de sécurité (MSSP) et, par extension, peuvent avoir des impacts en cascade pour les petites et moyennes entreprises qui sont des clients MSP/MSSP, » l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) mis en garde.