Les chercheurs ont fourni les détails d’une enquête sur l’activité des cyberattaquants liée au ransomware DarkSide.

Mardi, les chercheurs de FireEye ont documenté cinq groupes d’activités distincts soupçonnés d’être connectés à DarkSide, le réseau Ransomware-as-a-Service (RaaS) responsable de l’incident de sécurité du pipeline colonial.

Colonial Pipeline, l’un des plus grands exploitants de gazoducs et sociétés de livraison aux États-Unis, a été victime d’une épidémie de ransomware la semaine dernière qui a entraîné des fermetures de pipelines et des pénuries de carburant. L’entreprise n’a pas encore restauré tous ses systèmes et l’affaire – car elle implique un actif d’infrastructure critique (CI) – est jugée suffisamment grave pour impliquer le FBI.

L’équipe principale de DarkSide a tenté de se distancier de l’attaque en prétendant être «apolitique» et un groupe simplement dedans pour l’argent. Cependant, l’incident a suscité l’intérêt non seulement des forces de l’ordre, mais aussi des chercheurs en sécurité qui suivent les services RaaS.

Jusqu’à présent, FireEye a suivi cinq acteurs de la menace qui sont des affiliés actuels ou passés de DarkSide RaaS.

Les abonnés RaaS ont accès à des logiciels malveillants personnalisés – dans ce cas, la variante du ransomware DarkSide – en échange des développeurs recevant une part des bénéfices du paiement de la rançon.

Les messages du forum indiquent que l’affiliation nécessite 25% de la réduction pour les paiements de rançon inférieurs à 500 000 $ et ce pourcentage est ramené à 10% pour tout ce qui dépasse 5 millions de dollars.

Selon les chercheurs, toute personne qui tente de rejoindre le groupe DarkSide RaaS doit passer un entretien et, si elle réussit, dispose d’un panneau de contrôle pour sélectionner sa version de ransomware, gérer ses victimes et contacter l’assistance.

En outre, les utilisateurs peuvent spécifier quelles informations, volées lors d’une cyberattaque, peuvent être publiées sur le site principal de fuite de DarkSide. C’est ce qu’on appelle une tactique de double extorsion dans laquelle les entreprises qui refusent de payer pour une clé de déchiffrement sont alors menacées de divulgation publique de leurs fichiers.

FireEye a décrit les activités actuelles de trois des cinq groupes liés, suivis comme UNC2628, UNC2659 et UNC2465.

UNC2628: Ce groupe est actif depuis février. Ils ont tendance à passer rapidement de l’infection initiale au déploiement du ransomware et ne peuvent se cacher sur un réseau compromis que pendant deux à trois jours avant de commencer le chiffrement.

Les tentatives d’authentification suspectes, les attaques par force brute et les tactiques de “ pulvérisation et de prière ” sont courantes, et cet acteur de la menace peut également acquérir un accès initial via des informations d’identification légitimes pour les réseaux privés virtuels (VPN) d’entreprise, qui peuvent être achetés auprès d’autres cybercriminels en ligne.

On pense que l’UNC2628 s’associe à d’autres services RaaS, notamment REvil et Netwalker.

UNC2659: Le deuxième cluster, actif depuis au moins janvier, passe de l’accès initial au déploiement du ransomware en 10 jours en moyenne.

Cet ensemble exploite CVE-2021-20016 pour obtenir un accès initial, une vulnérabilité désormais corrigée dans le VPN SSL SonicWall SMA100, un service conçu pour les travailleurs mobiles.

«Il existe des preuves suggérant que l’acteur de la menace a peut-être utilisé la vulnérabilité pour désactiver les options d’authentification multifacteur sur le VPN SonicWall, bien que cela n’ait pas été confirmé», déclare FireEye.

TeamViewer est abusé pour maintenir la persistance sur une machine compromise et le groupe exfiltre les fichiers avant le chiffrement.

UNC2465: L’activité cybercriminelle remontant au moins à avril 2019, UNC2465 utilise désormais des e-mails de phishing pour diffuser DarkSide via la porte dérobée Smokedham .NET. Dans un cas documenté par FireEye, l’accès initial à un réseau a été obtenu des mois avant l’exécution du ransomware.

Smokedham prend également en charge l’exécution de commandes .NET arbitraires, l’enregistrement de frappe et la génération de captures d’écran. L’utilitaire NGROK est utilisé par les acteurs de la menace pour contourner les pare-feu et exposer les ports de service de bureau à distance.

Dans le même ordre d’idées, Sophos a été appelé pour aider sur cinq instances différentes d’infection par le ransomware DarkSide. La société a signalé un délai moyen de 45 jours entre l’accès initial et le déploiement du ransomware. Une copie de la note de ransomware typique est ci-dessous.

capture d'écran-2021-05-12-at-11-53-15.png

“Nous pensons que les acteurs de la menace sont devenus plus compétents dans la conduite d’opérations d’extorsion multiformes et que ce succès a directement contribué à l’augmentation rapide du nombre d’incidents de ransomwares à fort impact ces dernières années”, a commenté FireEye. “Nous prévoyons que les tactiques d’extorsion utilisées par les acteurs de la menace pour faire pression sur les victimes continueront d’évoluer tout au long de 2021.”

Couverture antérieure et connexe


Vous avez un conseil? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713025499, ou plus à Keybase: charlie0




Découvrez nos opportunités en AFFILIATION ici