Un groupe de cybercriminels qui cible les entreprises à revenus élevés avec le ransomware Ryuk a reçu 34 millions de dollars d’une victime en échange de la clé de déchiffrement qui a déverrouillé leurs ordinateurs.
Article traduit en français depuis BleepingComputer – L’acteur de la menace est très compétent pour se déplacer discrètement à l’intérieur d’un réseau compromis et effacer autant de traces que possible avant de faire lancer le ransomware Ryuk.
Appelé groupe “one” selon l’identification reçue du botnet Trickbot qui facilite les intrusions sur le réseau pour les logiciels malveillants de cryptage de fichiers Ryuk, cet acteur de la menace est sans scrupules en ce qui concerne les cibles. Selon Vitali Kremez d’Advanced Intelligence, les victimes récentes du groupe Ryuk “one” comprennent des entreprises du secteur de la technologie, de la santé, de l’énergie, des services financiers et du gouvernement.
D’immenses gains financiers à la clé
Les organisations des secteurs de la santé et des services sociaux représentent un peu plus de 13% de toutes les victimes touchées par cet acteur de la menace. Depuis sa reprise d’activité, le ransomware Ryuk a fait de nombreuses victimes. Un rapport de Check Point a noté en octobre que le gang attaquait, en moyenne, 20 entreprises chaque semaine au troisième trimestre de 2020. Des informations récentes sur le ransomware Ryuk font état de réseaux chiffrés appartenant à Universal Health Services (UHS), à la grande société de services informatiques Sopra Steria, au cabinet d’avocats Seyfarth Shaw, au géant du mobilier de bureau Steelcase et aux hôpitaux de Brooklyn et du Vermont.
Le chercheur déclare que le paiement moyen reçu par ce groupe de cybercriminels est de 48 bitcoins (près de 750 000 $) et qu’ils ont généré au moins 150 millions de dollars depuis 2018. Dans un rapport publié aujourd’hui, Kremez explique que cet acteur de la menace russophone est dur pendant les négociations et fait rarement preuve de clémence envers les victimes. Le plus gros paiement confirmé était de 2 200 bitcoins, soit actuellement près de 34 millions de dollars.
Une chaîne d’attaque en 15 étapes
En analysant le flux d’attaque à partir d’un engagement de réponse à un incident, Kremez note que Ryuk groupe “one” procède en 15 étapes pour trouver les hôtes disponibles sur le réseau, voler les informations d’identification de niveau administrateur et déployer le ransomware Ryuk. Ils obtiennent des logiciels initialement disponibles (dont la plupart sont en open-source) qui sont également utilisés par les équipes pour tester la sécurité du réseau :
- Mimikatz – outil de post-exploitation pour vider les informations d’identification de la mémoire
- PowerShell PowerSploit – une collection de scripts PowerShell utilisés pour la post-exploitation
- LaZagne – similaire à Mimikatz, utilisé pour collecter les mots de passe à partir de logiciels stockés localement
- AdFind – Outil de requête Active Directory
- Bloodhound – outil de post-exploitation pour énumérer et visualiser le domaine Active Directory, avec les appareils, les utilisateurs connectés, les ressources et les autorisations
- PsExec – permet d’exécuter des processus sur des systèmes distants
La chaîne d’attaque commence par exécuter la commande “invoke” de Cobalt Strike pour exécuter le script “DACheck.ps1” pour vérifier si l’utilisateur actuel fait partie d’un groupe d’administration de domaine. À partir de là, les mots de passe sont récupérés via Mimikatz, le réseau est mappé et les hôtes sont identifiés à la suite d’une analyse de port pour les protocoles FTP, SSH, SMB, RDP et VNC.
Kremez détaille les étapes complètes de l’attaque, en ajoutant les commandes Cobalt Strike expurgées :
- Examiner l’administrateur du domaine via le script “Invoke-DACheck”
- Collectez les mots de passe des hôtes via “mimikatz’s sekurlsa::logonpasswords”
- Rétablir le jeton et créer un jeton pour le commentaire administratif à partir de la sortie de la commande Mimikatz
- Revoir le réseau de l’hôte via “net view”
- Analyse de port pour les protocoles FTP, SSH, SMB, RDP, VNC
- Répertorier les accès sur les hôtes disponibles
- Téléchargez le kit de recherche Active Directory “AdFind” avec le script batch “adf.bat” à partir de “net view” et des hôtes analysés par les ports
- Afficher le nom de l’antivirus sur l’hôte via la commande “WMIC”
- Téléchargez l’outil de récupération de mot de passe polyvalent “LaZagne” pour analyser l’hôte
- Supprimer l’outil de récupération de mot de passe
- Exécutez ADFind et enregistrez les sorties
- Supprimer les artefacts de l’outil AdFind et télécharger les sorties
- Accorder un accès complet au partage net à tous pour le ransomware Ryuk
- Téléchargez le logiciel d’exécution à distance “PSExec” et les hôtes réseau préparés et désinstallez le produit antivirus
- Téléchargez les scripts de lots d’exécution et les hôtes réseau analysés et exécutez le ransomware Ryuk comme via PsExec sous différents utilisateurs compromis
Le gang de cybercriminels Trickbot a commencé à diffuser la porte dérobée BazarLoader depuis au moins avril 2020 par le biais de campagnes de hammeçonnage. Contrairement au malware Trickbot hautement détecté, le malware était probablement réservé au départ à de précieuses victimes, pour déployer le trojan Cobalt Strike qui fournit un accès à distance aux opérateurs. Dernièrement, cependant, les tentatives de phishing avec ce malware sont devenues plus ordinaires, utilisant des leurres adaptés au moment de l’attaque (vacances, événements) ou des thèmes qui prêtent à tout moment de l’année (plaintes, paie, notifications de service ou d’emploi).