Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonPlay Les attaques de ransomware utilisent de nouveaux outils personnalisés
Les chercheurs ont découvert deux nouveaux outils personnalisés exploités dans les attaques de rançongiciels Play, alors que différents acteurs de la menace adoptent de plus en plus des outils propriétaires afin d'obtenir un avantage concurrentiel et de mieux adapter leurs attaques aux environnements des victimes.
L'équipe de chasseurs de menaces de Symantec a trouvé le groupe à l'origine du rançongiciel Play à l'aide d'un outil d'analyse de réseau personnalisé Grixba afin d'énumérer tous les ordinateurs et utilisateurs du domaine et d'un exécutable .NET qui permet aux attaquants de copier des fichiers du service de cliché instantané des volumes (VSS) qui sont normalement verrouillés par le système d'exploitation.
"L'utilisation d'outils propriétaires… donne aux opérateurs de rançongiciels plus de contrôle sur leurs opérations", ont déclaré les chercheurs dans une analyse de mercredi. "Si un outil est largement disponible, il peut être rétro-conçu ou adapté par d'autres attaquants, affaiblissant potentiellement l'efficacité de l'attaque initiale. En gardant leurs outils propriétaires et exclusifs, les gangs de ransomwares peuvent conserver leur avantage concurrentiel et maximiser leurs profits."
Le groupe Balloonfly qui développe le rançongiciel Play, lancé en juin 2022, a mené plusieurs doubles attaques d'extorsion, dont une récente cyberattaque sur la ville d'Oakland, en Californie. Le groupe a précédemment ciblé des failles de Microsoft Exchange, telles qu'un bogue d'élévation de privilèges (CVE-2022-41080) et une faille d'exécution de code à distance (CVE-2022-41082).
Le groupe ne semble pas exploiter Play en tant que ransomware-as-a-service, et ses outils personnalisés découverts cette semaine peuvent lui donner un avantage concurrentiel sur les autres groupes. Balloonfly a développé les deux outils à l'aide d'un outil de développement .NET populaire appelé Costura, qui permet aux utilisateurs d'intégrer des dépendances d'application dans un seul exécutable.
"En gardant leurs outils propriétaires et exclusifs, les gangs de rançongiciels peuvent conserver leur avantage concurrentiel et maximiser leurs profits."
L'infostealer .NET Grixba vérifie et énumère les logiciels, les outils d'administration à distance, plusieurs programmes de sécurité et plus encore, et compile ces informations pour l'exfiltration. L'autre outil exploite la bibliothèque AlphaVSS - un framework .NET pour interagir avec VSS - afin de copier des fichiers à partir d'instantanés VSS avant le chiffrement.
De plus en plus de groupes délaissent les outils accessibles au public ou les scripts simples pour utiliser à la place des outils entièrement personnalisés, notamment l'outil d'exfiltration de données Exmatter utilisé dans plusieurs attaques de rançongiciels BlackMatter en 2021, l'outil d'exfiltration de données personnalisé Exbyte développé l'année dernière par BlackByte et un outil basé sur PowerShell utilisé par Vice Society.
Les outils d'exfiltration personnalisés comme ceux-ci améliorent la vitesse des attaques, mais comme l'illustrent les outils personnalisés Play ransomware, ils peuvent également augmenter la complexité et les capacités des attaques, a déclaré Dick O'Brien, analyste principal du renseignement pour le groupe de chasseurs de menaces Symantec.
"Il est possible que les attaques deviennent de plus en plus complexes à réaliser, nécessitant ainsi l'automatisation de certaines étapes", a déclaré O'Brien. "Des choses comme copier des fichiers verrouillés sont quelque chose dont nous ne savons pas si les attaquants auraient pris la peine de le faire il y a quelques années."
En dehors des outils d'exfiltration, les acteurs de la menace ont développé d'autres types d'ensembles d'outils pour étendre leur chaîne d'attaque et ajouter des couches supplémentaires de complexité à leurs attaques. Depuis 2022, par exemple, un sous-groupe de l'acteur iranien connu APT35 utilise deux implants personnalisés afin de persister dans des environnements compromis, d'échapper à la détection et de déployer des logiciels malveillants de deuxième étape.
"À certains égards, cela peut être un signe positif car cela suggère que les attaquants sentent que la chaleur et trop d'attaques sont découvertes avant qu'elles ne puissent être terminées", a déclaré O'Brien. "Nous constatons également que les attaquants déploient davantage d'efforts pour tenter de désactiver les logiciels de sécurité, ce qui suggère également qu'ils sont bloqués plus fréquemment."
Les opérateurs de logiciels malveillants Qakbot ont de nouveau changé de tactique pour s'adapter aux changements dans les défenses.
Un nouveau RAT connu sous le nom de SeroXen est en vente sur les forums et les plateformes de médias sociaux et a la capacité d'échapper à l'EDR et de fournir un...
Une version du rançongiciel BlackCat annoncée en février inclut de nouvelles capacités permettant aux attaquants d'échapper à la détection et à l'analyse.