La souche de ransomware connue sous le nom de Jouer est désormais proposé à d’autres acteurs de la menace « en tant que service », ont révélé de nouvelles preuves découvertes par Adlumin.
« L’absence inhabituelle de variations, même minimes, entre les attaques suggère qu’elles sont menées par des affiliés qui ont acheté le ransomware-as-a-service (RaaS) et suivent étape par étape les instructions des playbooks fournis avec celui-ci », le société de cybersécurité a déclaré dans un rapport partagé avec The Hacker News.
Les résultats sont basés sur diverses attaques de ransomware Play suivies par Adlumin couvrant différents secteurs et intégrant des tactiques presque identiques et dans la même séquence.
Cela inclut l’utilisation du dossier de musique public (C:…publicmusic) pour masquer le fichier malveillant, le même mot de passe pour créer des comptes à privilèges élevés, les deux attaques et les mêmes commandes.
Jouerégalement appelé Balloonfly et PlayCrypt, a été révélé pour la première fois en juin 2022, exploitant les failles de sécurité de Microsoft Exchange Server – c’est-à-dire ProxyNotShell et OWASSRF – pour infiltrer les réseaux et abandonner les outils d’administration à distance comme AnyDesk et finalement abandonner le ransomware.
Outre l’utilisation d’outils personnalisés de collecte de données comme Grixba pour la double extorsion, un aspect notable qui distingue Play des autres groupes de ransomwares est le fait que les opérateurs chargés du développement du malware ont également mené les attaques.
Le nouveau développement marque donc un changement et achève sa transformation en une opération RaaS, ce qui en fait une option lucrative pour les cybercriminels.
« Lorsque les opérateurs RaaS annoncent des kits de ransomware contenant tout ce dont un pirate informatique aura besoin, y compris de la documentation, des forums, une assistance technique et une aide à la négociation de rançons, les script kiddies seront tentés de tenter leur chance et de mettre leurs compétences à profit », a déclaré Adlumin.
« Et comme il y a probablement plus de script kiddies que de « vrais hackers » aujourd’hui, les entreprises et les autorités devraient en prendre note et se préparer à une vague croissante d’incidents. »