Les pirates informatiques derrière les attaques de rançongiciels à Cuba utilisant le nouveau logiciel malveillant RAT


Les acteurs de la menace associés au rançongiciel Cuba ont été liés à des tactiques, techniques et procédures (TTP) non documentées auparavant, y compris un nouveau cheval de Troie d’accès à distance appelé ROM COM RAT sur les systèmes compromis.

La nouvelles découvertes viennent de l’équipe de renseignement sur les menaces de l’unité 42 de Palo Alto Networks, qui suit le groupe de rançongiciels à double extorsion sous le surnom sur le thème de la constellation Scorpion tropical.

Cuba ransomware (alias TIRAGE À FROID), qui a été détecté pour la première fois en décembre 2019, est réapparu dans le paysage des menaces en novembre 2021 et a été attribué à des attaques contre 60 entités dans cinq secteurs d’infrastructure critiques, amassant au moins 43,9 millions de dollars en paiements de rançon.

Sur les 60 victimes répertoriées sur son site de fuite de données, 40 se trouvent aux États-Unis, ce qui indique une répartition moins globale des organisations ciblées que les autres gangs de ransomwares.

« Cuba ransomware est distribué via le malware Hancitor, un chargeur connu pour déposer ou exécuter des voleurs, tels que les chevaux de Troie d’accès à distance (RAT) et d’autres types de ransomwares, sur les réseaux des victimes », selon un Alerte décembre 2021 du Federal Bureau of Investigation (FBI) des États-Unis.

La cyber-sécurité

« Les acteurs de logiciels malveillants Hancitor utilisent des e-mails de phishing, des vulnérabilités Microsoft Exchange, des informations d’identification compromises ou des outils légitimes de protocole de bureau à distance (RDP) pour obtenir un accès initial au réseau d’une victime. »

Au cours des mois qui ont suivi, l’opération de ransomware a reçu une mise à niveau dans le but « d’optimiser son exécution, de minimiser les comportements imprévus du système et de fournir une assistance technique aux victimes de ransomware si elles choisissent de négocier », selon Trend Micro.

Le principal des changements consistait à mettre fin à davantage de processus avant le chiffrement (à savoir Microsoft Outlook, Exchange et MySQL), à élargir les types de fichiers à exclure et à réviser sa note de rançon pour offrir une assistance aux victimes via quTox.

On pense également que Tropical Scorpius partage des connexions avec un marché d’extorsion de données appelé Industrial Spy, comme signalé par Bleeping Computer en mai 2022, avec les données exfiltrées à la suite d’une attaque de ransomware à Cuba mises en vente sur le portail illicite au lieu de son propre site de fuite de données.

Les dernières mises à jour observées par l’unité 42 en mai 2022 concernent les tactiques d’évasion de la défense employées avant le déploiement du ransomware pour voler sous le radar et se déplacer latéralement dans l’environnement informatique compromis.

Cuba Ransomware

« Tropical Scorpius a exploité un compte-gouttes qui écrit un pilote de noyau dans le système de fichiers appelé ApcHelper.sys », a noté la société. « Cela cible et met fin aux produits de sécurité. Le dropper n’a pas été signé, cependant, le pilote du noyau a été signé à l’aide du certificat trouvé dans la fuite LAPSUS $ NVIDIA. »

La tâche principale du pilote du noyau est de terminer les processus associés aux produits de sécurité afin de contourner la détection. Un outil d’escalade de privilèges local téléchargé à partir d’un serveur distant pour obtenir des autorisations SYSTEM est également intégré à la chaîne d’attaque.

Ceci, à son tour, est réalisé en déclenchant un exploit pour CVE-2022-24521 (score CVSS : 7,8), une faille dans le Windows Common Log File System (CLFS) qui a été corrigée par Microsoft comme une faille zero-day en avril 2022. .

L’étape d’escalade des privilèges est suivie par la réalisation d’activités de reconnaissance du système et de déplacement latéral via des outils tels que ADFind et Net Scan, tout en utilisant également un utilitaire ZeroLogon qui exploite CVE-2020-1472 pour obtenir des droits d’administrateur de domaine.

De plus, l’intrusion ouvre la voie au déploiement d’une nouvelle porte dérobée appelée ROMCOM RAT, qui est équipée pour démarrer un reverse shell, supprimer des fichiers arbitraires, télécharger des données sur un serveur distant et récolter une liste des processus en cours d’exécution.

Le cheval de Troie d’accès à distance, par unité 42, serait en cours de développement actif, car la société de cybersécurité a découvert un deuxième échantillon téléchargé dans la base de données VirusTotal le 20 juin 2022.

La variante améliorée prend en charge un ensemble élargi de 22 commandes, comptant la possibilité de télécharger des charges utiles sur mesure pour capturer des captures d’écran ainsi que d’extraire une liste de toutes les applications installées à renvoyer au serveur distant.

La cyber-sécurité

« Tropical Scorpius reste une menace active », ont déclaré les chercheurs. « L’activité du groupe montre clairement qu’une approche de l’artisanat utilisant un hybride d’outils plus nuancés se concentrant sur les composants internes de Windows de bas niveau pour l’évasion de la défense et l’escalade des privilèges locaux peut être très efficace lors d’une intrusion.

Les découvertes surviennent alors que des groupes de rançongiciels émergents tels que Orageux, Vice-sociétéLuna, SolidBitet BlueSky continuent de proliférer et d’évoluer dans l’écosystème de la cybercriminalité, tout en utilisant des techniques de cryptage et des mécanismes de diffusion avancés.

Rançongiciel SolidBit Logiciel malveillant

SolidBit se distingue par son ciblage des utilisateurs de jeux vidéo et de plateformes de médias sociaux populaires en se faisant passer pour différentes applications comme un outil de vérification de compte League of Legends et des outils comme Social Hacker et Instagram Follower Bot, permettant aux acteurs de lancer un large réseau de victimes potentielles. .

« Le ransomware SolidBit est compilé à l’aide de .NET et est en fait une variante du ransomware Yashma, également connu sous le nom de Chaos », a déclaré Trend Micro. c’est noté dans un article la semaine dernière.

« Il est possible que les acteurs du ransomware de SolidBit travaillent actuellement avec le développeur original du ransomware Yashma et aient probablement modifié certaines fonctionnalités du constructeur Chaos, le rebaptisant plus tard SolidBit. »

BlueSky, pour sa part, est connu pour utiliser le multithreading pour crypter les fichiers sur l’hôte pour un cryptage plus rapide, sans parler d’adopter des techniques anti-analyse pour obscurcir son apparence.

La charge utile du ransomware, qui démarre avec l’exécution d’un script PowerShell récupéré à partir d’un serveur contrôlé par un attaquant, se déguise également en une application Windows légitime (« javaw.exe »).

« Les auteurs de ransomwares adoptent des techniques avancées modernes telles que le codage et le cryptage d’échantillons malveillants, ou l’utilisation de la livraison et du chargement de ransomwares en plusieurs étapes, pour échapper aux défenses de sécurité », Unité 42 c’est noté.

« Le ransomware BlueSky est capable de chiffrer les fichiers sur les hôtes victimes à des vitesses rapides avec un calcul multithread. En outre, le ransomware adopte des techniques d’obscurcissement, telles que le hachage d’API, pour ralentir le processus d’ingénierie inverse pour l’analyste. »



ttn-fr-57