Les experts de Cisco Talos ont analysé les activités de 5 groupes de ransomwares qui ont été les plus actifs et les plus dangereux pour les organisations du monde entier depuis 2023. Il s'agissait notamment des groupes LockBit, AlphV/BlackCat, Play, 8base et Black Basta. Comment fonctionnent-ils et quels outils utilisent-ils ? Nous en parlons dans cet article.

Lorsqu'ils analysent les activités des groupes de ransomwares, les cyberspécialistes de Cisco Talos prêtent attention à la diversité et à la complexité des techniques utilisées par ces groupes. Ces groupes font constamment évoluer leurs méthodes pour attaquer plus efficacement les organisations du monde entier – des attaques de phishing à l'utilisation d'outils avancés d'évasion de détection. Face à des menaces aussi graves, les entreprises doivent mettre en œuvre des mesures de sécurité avancées et être prêtes à réagir rapidement aux incidents afin de minimiser le risque et les effets des attaques de ransomwares.

Bit de verrouillage

LockBit est l'un des groupes de ransomwares actifs les plus anciens, opérant de manière très approfondie et systématique, utilisant l'automatisation pour accélérer le processus d'infection et accroître l'efficacité. L'outil de cryptage des données utilisé par LockBit est facile à utiliser, ce qui permet aux cybercriminels même les moins expérimentés de mener des attaques efficacement. L'efficacité du groupe résulte aussi de la rapidité de ses attaques. LockBit est devenu leader sur le marché des ransomwares, ce qui en fait l'une des plus grandes cybermenaces du marché.

Mode d'action: LockBit et ses courtiers d'accès initial (IAB) accèdent aux réseaux de leurs victimes par le biais du phishing, en utilisant des informations d'identification volées, des applications publiques et le protocole RDP (Remote Desktop Protocol). Une fois consultés, les ransomwares se propagent sur le réseau à l’aide d’informations d’identification codées préconfigurées ou en compromettant des comptes dotés de privilèges étendus. LockBit peut également être distribué via des objets de stratégie de groupe (GPO) et PsExec à l'aide du protocole SMB.

Un trait caractéristique de l'activité de LockBit est le ciblage généralisé et opportuniste. Ce groupe a attaqué de nombreuses entreprises de différentes tailles, quel que soit leur secteur d'activité, ce qui rend ses actions difficiles à prévoir et la portée des attaques encore plus grande.

Les outils utilisés: LockBit utilise divers outils pour effectuer ses opérations, notamment Cobalt Strike, AnyDesk, Mimikatz, Metasploit, Chocolatey, FileZilla, Stealbit infostealer, le désactiveur TDSSKiller EDR et Thundershell. Ces outils facilitent l'accès, l'élévation des privilèges, le phishing et la désactivation des logiciels de sécurité. La combinaison d’outils fiables et de méthodes opérationnelles éprouvées rend leurs attaques extrêmement efficaces et difficiles à détecter à l’avance.

AlphaV/BlackCat

ALPHV Group, également connu sous le nom de BlackCat, est un groupe de ransomware hautement qualifié proposant des services RaaS. Bien que le groupe ait été créé relativement récemment, en 2021, il a réussi à connaître le succès la même année, après sa première action publique en novembre. Le groupe recrute des cybercriminels qualifiés sur des forums en langue russe, les tentant avec des gains lucratifs. Les partenaires d'ALPHV peuvent conserver jusqu'à 90 % de la rançon, en fonction du montant collecté, ce qui rend le groupe extrêmement attractif pour les collaborateurs potentiels.

Mode d'action: ALPHV utilise une triple tactique d'extorsion qui inclut le vol de données avant de chiffrer les appareils, des menaces de publication de ces données et des attaques DDoS si la rançon n'est pas payée. Il s’agit du premier groupe à commercialiser un ransomware basé sur le langage de codage Rust, lui permettant de mener des cyberopérations publiques à grande échelle.

ALPHV attaque des organisations en Europe et en Amérique du Sud. Les rapports suggèrent que la valeur des rançons varie de 400 000 à 3 millions de dollars, et dans certains cas jusqu'à 14 millions de dollars.

Les outils utilisés: ALPHV utilise une variété d'outils pour mener ses opérations, notamment Voleur LaZagne, voleur WebBrowserPassView, WinRM, tunnels SSH inversés, Impacket, ScreenConnect, PowerShell et protocole de bureau à distance (RDP). Ces outils permettent de voler des données, d'accéder à distance aux systèmes des victimes et de lancer des attaques, faisant d'ALPHV l'un des groupes de ransomwares les plus avancés et les plus dangereux au monde.

Jouer

Les opérations du groupe Play ont débuté en juin 2022. Son activité actuelle laisse penser que ce groupe continuera à figurer parmi les principaux cybercriminels dans les années à venir. Play est connu pour mener des attaques de double extorsion et a été l'un des premiers groupes de ransomwares à utiliser une technique de cryptage intermittent, qui ne crypte qu'une partie de chaque fichier.

Mode d'action: Les méthodes utilisées par le groupe de jeu pour obtenir un accès initial varient au cas par cas et évoluent à mesure que de nouvelles vulnérabilités apparaissent. Cependant, les trois principales méthodes utilisées par Play incluent l'exploitation des comptes actifs, l'attaque des serveurs RDP exposés et l'exploitation des vulnérabilités des applications publiques. Ces techniques permettent au groupe d'accéder avec succès aux systèmes des victimes et de lancer une attaque.

L'analyse des attaques Play révèle que le groupe partage des techniques, tactiques et procédures (TTP) similaires avec d'autres groupes de ransomwares tels que Hive et Nokoyawa. Les fonctionnalités communes incluent les noms de fichiers et de répertoires, les chemins d'outils et les charges utiles utilisés dans les attaques.

Les outils utilisés: Les cybercriminels du jeu sont connus pour ne pas opérer dans une latitude spécifique et attaquer un certain nombre de secteurs différents. Les outils utilisés par le groupe comprennent : Adfind, Bloodhound, Grixba, Netscan, Nltest, GMER, IOBit, Process Hacker, PowerTool, Cobalt Strike, SystemBC, PowerShell Empire, WinSCP et VSS Shadow Copy Toolqui soutiennent leurs activités d’exploration de données, d’exfiltration de données et de gestion des attaques.

8base

Actif depuis au moins mars 2022, le groupe de rançongiciels 8base fonctionne sur un modèle RaaS, comme de nombreux groupes leaders. Bien que 8base soit restée dans l’ombre au début de son activité, elle est devenue célèbre en juin 2023, lorsqu’on a constaté une augmentation significative du nombre d’organisations dont les données ont été volées grâce à elles.

Mode d'action: Le ransomware 8base est principalement distribué via le bot SmokeLoader. 8base est une variante modifiée de Phobos, écrite en C++. Il utilise l'algorithme de cryptage AES-256 en mode Cipher Block Chaining (CBC), qui offre un niveau avancé de protection contre le décryptage des données par des tiers.

Le groupe 8base mène des attaques dans un large éventail de secteurs, sans préférence claire pour le secteur des victimes. Les observations indiquent que 8base se concentre principalement sur les organisations des États-Unis et du Brésil.

Les outils utilisés: Les outils utilisés par le groupe comprennent : SmokeLoader, AnyDesk, PSExec, PuTTy, Advanced IP Scanner et Netscan. Ces outils prennent en charge les opérations du ransomware 8base, leur permettant de lancer efficacement des attaques, de gérer les logiciels malveillants et de se propager sur les réseaux des victimes.

NoirBasta

Le groupe de ransomware-as-a-service (RaaS) Black Basta recourt à des attaques de double extorsion en publiant des données exfiltrées sur son site de fuite. Il est possible que Black Basta soit une branche du groupe de ransomwares Conti, comme l'indique la similitude des méthodes et des outils utilisés par les deux groupes.

Mode d'action: Le ransomware Black Basta est écrit en C++ et est destiné aux systèmes Windows et Linux. Le groupe utilise des chargeurs de produits, qui sont souvent distribués via des fils de discussion piratés et des pièces jointes prenant en charge les macros. De plus, Black Basta utilise des applications publiques et met en œuvre des mécanismes personnalisés de détection des points de terminaison et d'évasion des réponses, ce qui augmente l'efficacité de leurs attaques.

Le groupe cible les grandes organisations dans divers secteurs, notamment l'agriculture, l'industrie manufacturière, la santé, les transports, le conseil et l'immobilier. Sa portée géographique est assez large et comprend des pays tels que : les États-Unis, la Grande-Bretagne, le Canada, l'Australie, la Nouvelle-Zélande, l'Allemagne, la Suisse, l'Italie, la France et les Pays-Bas.

Les outils utilisés: Black Basta utilise une variété d'outils dans ses opérations, notamment Qakbot, Mimikatz, Brute Ratel, Cobalt Strike, PSExec, vssadmin.exe et Rclone. Ces outils prennent en charge divers aspects des attaques, tels que l'exfiltration de données, la gestion des logiciels malveillants et l'évasion de la détection des logiciels malveillants.

A lire également