Table des matières
Contexte et évolutions
La menace ransomware a atteint un niveau très élevé au second semestre 2022, à l’image des périodes précédentes. Sur la base de données issues de sources ouvertes, LockBit était le groupe de ransomware le plus prolifique, diffusant actuellement la version LockBit Black de son logiciel malveillant. Royal ransomware – un nouveau venu sur la scène de la double extorsion – a montré une augmentation notable de son activité au cours des derniers mois.
Les incidents de ransomware affectant les pays d’Amérique latine ont bondi au deuxième trimestre 2022, probablement pour élargir les zones cibles conventionnelles, une baisse des paiements de rançon ayant été signalée en 2022.
Une autre observation notable est l’émergence de plusieurs familles de ransomware dérivés de LockBit et Conti. Il est très probable que cela se produise après que le code source de ces logiciels malveillants et leurs manuels internes aient été divulgués et soient devenus disponibles pour l’ensemble de la communauté cybercriminelle.
La plupart des acteurs de la menace qui ont réutilisé ces codes source divulgués, exécutent actuellement des campagnes de simple extorsion, sans exfiltration de données. Ils utilisent également des notes de rançon génériques. C’est notamment le cas des groupes de ransomware ScareCrow, Meow et Putin.
Pour les activités de post-exploitation, les acteurs de la menace utilisent de plus en plus l’outil Brute Ratel. Cette pratique est certainement due au fait qu’une version piratée de Brute Ratel a été partagée en septembre 2022.
Ces évolutions nous permettent de prendre conscience de la démocratisation de la menace ransomware qui a atteint un niveau sans précédent. De nombreux affiliés de ransomware ne se limitent plus au déploiement d’un seul code malveillant. Ils utilisent différents ransomware à des fins différentes. Cette situation est complémentaire à la tendance de rotation des affiliés entre différents groupes Ransomware-as-a-Service (RaaS).
Évolution des tactiques, des techniques et des procédures
Attaques de callback phishing – une méthode d’accès initial en hausse
La méthode de callback phishing est une tactique de spearphishing qui usurpe l’identité de plateformes ou d’entreprises légitimes en envoyant des e-mails affirmant que la victime a été ou sera facturée pour un service, et en exhortant les victimes à appeler un numéro de téléphone répertorié pour obtenir des éclaircissements supplémentaires. En appelant ce numéro, la victime est dirigée vers un service de centre d’appels mandaté par les auteurs de la menace.
Ensuite, un « représentant du service client » cherche à obtenir un accès à distance et à distribuer des logiciels malveillants et/ou à voler des données du réseau de la victime. Ce vecteur de compromission initiale utilise des astuces d’ingénierie sociale relativement avancées, interférant avec celles des escroqueries au support technique, et suppose une plus grande implication du facteur humain.
Cette méthode (initialement connue sous le nom de BazarCall alias BazaCall) est apparue au début de 2021 et était à l’origine utilisée par l’opération Ryuk (plus tard Conti). Son utilisation parmi les acteurs de la menace continue de croître à l’heure actuelle. Sur la base d’une étude d’Agari, les cas de phishing hybride où la cible interagit au téléphone avec un être humain réel ont augmenté au deuxième trimestre 2022 de 625% par rapport au 1ᵉʳ trimestre 2021.
À partir de mars 2022 et plus tard, d’anciens membres présumés du groupe de ransomware Conti ont commencé [1] à mener des campagnes de callback phishing pour le compte d’autres opérations de ransomware qu’ils venaient de fonder ou de rejoindre. On peut citer entre autres Luna Moth (alias Silent Ransom alias TG2729), Quantum et Roy / Zeon (alias Royal).
Il est très probable que ces acteurs expérimentés du ransomware ont apporté leur expertise de l’opération Conti maintenant fermée et ont adopté le callback phishing comme principale méthode d’obtention d’un accès initial et de diffusion de ransomware sous de nouvelles identités de groupe.
Comme les identifiants distribués dans les e-mails de phishing sont uniques pour chaque victime et destinés à de moyennes et grandes entreprises, les analystes de SEKOIA.IO estiment que les campagnes documentées tirant parti de cette technique ont été ciblées. Ceci est particulièrement intéressant car la plupart des activités cybercriminelles sont considérées comme opportunistes par nature.
Au cours du second semestre 2022, les acteurs de la menace ont développé de nouvelles formes dérivées de la technique BazaCall. Par exemple, Jörmungandr est exploité par le groupe Quantum et emploie des personnes spécialisées dans le spamming, le renseignement en source ouverte, la conception et les opérations de centre d’appels). Les analystes de SEKOIA.IO estiment que des versions plus personnalisées des campagnes de callback phishing pourraient émerger à l’avenir pour une plus grande efficacité. Ce qui pourrait entraver les efforts de suivi et de détection.
Jusqu’à présent, les incidents documentés publiquement impliquant le callback phishing ont conduit à l’infection des hôtes Windows. Il n’est maintenant pas certain que cette menace s’étendra à d’autres systèmes d’exploitation tels que Linux, comme le font régulièrement d’autres menaces de cybercriminalité. Nous estimons que la conduite d’attaques de callback phishing sur Linux nécessiterait des techniques d’ingénierie sociale plus avancées.
Bien que l’envoi de fausses notifications d’abonnement par e-mail reste le point d’entrée le plus répandu pour les attaques de callback phishing, en juillet 2022, CrowdStrike a signalé un nouveau leurre de phishing utilisé dans une campagne de callback phishing. Des e-mails usurpant l’identité de sociétés de cybersécurité de premier plan impliquaient que la société du destinataire avait été compromise et insistaient pour que la victime appelle le numéro de téléphone inclus.
Les campagnes de callback phishing restent un moyen efficace de contourner les solutions de sécurité existantes. Cela est très probablement dû au fait que les messages de phishing n’incluent pas d’éléments malveillants per se. Les analystes de SEKOIA.IO estiment que l’adoption progressive de la technique de callback phishing fournit une preuve supplémentaire de la spécialisation au sein de l’écosystème des ransomware ces derniers temps.
Il a été rapporté que les groupes de ransomware investissent dans leurs propres centres d’appels, et qu’il existe également plusieurs fournisseurs de services d’appels sur les forums de cybercriminalité. Ceux-ci peuvent notamment proposer la distribution de logiciels malveillants et la négociation avec les entreprises victimes. Les analystes de SEKOIA.IO estiment qu’il est également probable que les groupes de ransomware externalisent une partie de leurs activités de callback phishing à des services de centre d’appels gérés par d’autres acteurs de menaces spécialisés.
SEKOIA.IO estime qu’il est très probable que la méthode de callback phishing sera couramment utilisée par un nombre croissant de groupes de cybercriminalité en 2023. Les manuels internes de Conti, fuités en 2022, contenant des directives pour les affiliés de ransomware faciliteraient également le transfert de ces méthodes à d’autres groupes malveillants. Les groupes de cybercriminalité hautement organisés et les opérations de ransomware gérées par l’humain sont les plus susceptibles d’adopter cette méthode.
Les nouvelles opérations de ransomware optent pour un chiffrement intermittent
Les acteurs des ransomware ont récemment repris la tactique de chiffrement intermittent. Utilisée pour la première fois par LockFile en 2021, cette technique permet aux acteurs de la menace de crypter les fichiers plus rapidement et échapper aux solutions de détection basées sur l’analyse statique.
Plusieurs opérations de ransomware détectées et signalées à la mi-2022 (Agenda, Qyick, Play et Royal) ont opté pour un chiffrement intermittent dans leurs campagnes. De plus, la technique a gagné en popularité et a récemment été adoptée par des groupes de ransomware établis, notamment BlackCat et Black Basta.
Le chiffrement plus rapide des fichiers et/ou du système de la victime est probablement une priorité pour les opérateurs de ransomware, car cela réduit le risque d’être détecté et interrompu dans le processus. Ainsi, les groupes de ransomware peuvent toujours atteindre leur objectif principal : obtenir la rançon pendant que l’attaque est effectuée dans un laps de temps plus court. Cela prouve également que les groupes de ransomware de type Big Game Hunting sont très sensibles aux évolutions des écosystèmes de cybercriminalité et de sécurité de l’information. Ils ont tendance à s’adapter rapidement aux tendances émergentes.
De plus en plus de groupes de ransomware ont recours à d’autres langages de programmation
Plusieurs opérations de ransomware ont récemment été signalées en convertissant leur code malveillant des langages de programmation traditionnels en Rust. Les opérateurs de ransomware développent de plus en plus de fonctionnalités multiplateformes pour leurs opérations, et le passage à Rust fait partie de cette tendance.
Le groupe de ransomware BlackCat aurait été la première opération majeure de ransomware à adopter Rust en 2021. Plus tôt cette année, les opérations de ransomware Hive ont réécrit leur malware dans Rust. Puis, au second semestre 2022, au moins quatre opérations de ransomware – Agenda, RansomEXX, Luna et Nokoyawa – ont rejoint la tendance.
Ce langage de programmation devient de plus en plus populaire parmi les développeurs pour plusieurs raisons. Tout d’abord, Rust est un langage multiplateforme avec un grand choix de plateformes prises en charge. En tant que langage compilé avec un seul compilateur, il nécessite de plus petits ajustements pour adapter les binaires à chacune de ces plateformes (pour comparer, C ++ nécessite plusieurs compilateurs).
Cette fonctionnalité est d’un grand intérêt pour les développeurs de logiciels malveillants, qui cherchent normalement à élargir l’étendue de leurs cibles potentielles avec relativement peu d’effort. Du point de vue d’un attaquant, les langages de programmation multiplateformes permettent de personnaliser les attaques en fonction de différents environnements de victimes.
La réécriture de ransomware dans un nouveau langage de programmation est très probablement révélatrice de l’évolution des techniques d’un groupe pour améliorer les capacités de ses logiciels malveillants et échapper à la détection. Car peu de solutions de sécurité sont capables d’analyser Rust pour le moment. Une fois que les acteurs de la menace ont fait cet effort, nous estimons que l’on devrait envisager une éventuelle croissance de la menace associée.
Les analystes de SEKOIA.IO s’attendent à ce que Rust devienne de plus en plus attrayant pour les développeurs de logiciels malveillants, à mesure qu’il deviendra de plus en plus populaire. Il est probable que cela viendra avec plus de ressources de documentation disponibles à l’avenir et un meilleur support, une plus grande base de développeurs, plus de morceaux de code disponibles gratuitement, etc.
Les acteurs de ransomware et leurs alliés du dark web
Comme mentionné dans le rapport de SEKOIA.IO sur le paysage de la menace ransomware à la mi-2022, les groupes de ransomware sont des acteurs confirmés de l’écosystème Dark Web.
L’écosystème des ransomware a continué à se professionnaliser au second semestre 2022 en répartissant davantage les tâches au sein de leurs groupes et en coopérant avec d’autres acteurs de la menace.
Ci-dessous, nous répertorions certains des acteurs du Dark Web et des fournisseurs de services qui s’associent à des groupes de ransomware et sont exploités dans les opérations de ransomware.
Qui appelle ? Centres d’appels frauduleux et autres services d’appels
Comme on l’a vu précédemment dans la partie sur la technique du callback phishing, les centres d’appels frauduleux ont d’abord été exploités dans des stratagèmes commerciaux frauduleux. Leurs offres ont évolué au cours des deux dernières années, reflétant l’évolution du paysage des menaces cybercriminelles, et sont maintenant utilisées par des acteurs de menaces plus avancés.
À la mi-2022, lorsque les campagnes de callback phishing ont retrouvé leur popularité, les analystes de SEKOIA.IO ont observé que les offres frauduleuses des centres d’appels fleurissaient sur le Dark Web.
Nous estimons que la plupart des centres d’appels frauduleux travaillent en étroite collaboration avec les groupes de ransomware. Cela inclut très probablement des campagnes de callback phishing pour obtenir un accès initial, des campagnes de distribution de logiciels malveillants et des négociations avec les victimes de ransomware.
Bien que l’utilisation de centres d’appels par des groupes de ransomware ne soit pas une démarche nouvelle : es analystes de SEKOIA.IO ont observé un nombre croissant d’annonces services d’appels spécifiquement destinés aux entreprises sur le Dark Web à partir de mars 2022. Ce laps de temps correspond à la résurgence de la technique de callback phishing telle que documentée dans les sources ouvertes. Nous avons constaté que leur nombre et leur niveau d’activité ont augmenté depuis la mi-2022.
Nous pouvons citer comme exemple, CorpCalls (anciennement ApprovedCalls). Il s’agit d’un centre d’appels sous-traitant lancé à la mi-mai 2022 sur un forum sur la cybercriminalité et activement en promotion tout au long du deuxième trimestre 2022. Dans leurs multiples messages sur le forum, les acteurs de la menace revendiquent « une amélioration considérable des paiements des entreprises ». Ils revendiquent également « de nombreux cas réussis, travaillant avec des partenaires sérieux et faisant les meilleurs appels ». Il est très probable que ce service d’appel soit exploité par les acteurs de ransomware pour faire pression sur les victimes afin qu’elles paient une rançon après une attaque réussie.
Pour être compétitif, ces services ont tendance à couvrir autant de besoins de clients que possible :
- parfois à ne pas facturer les appels manqués ou échoués,
- fonctionner 24 heures sur 24, 7 jours sur 7 pour couvrir tous les fuseaux horaires,
- embaucher des opérateurs parlant plus de langues, etc.
N.B : Les analystes de SEKOIA.IO savent que les opératrices sont minoritaires et seraient particulièrement sollicités dans ces centres d’appels de sorte qu’elles sont valorisées dans les publicités du forum, probablement dans le but de paraître plus légitimes.
Programmes d’affiliation Ransomware-as-a-Service
Les opérations RaaS publiques ont continué à recruter des partenaires tout au long du deuxième semestre 2022. Cependant, nous constatons que l’activité des groupes de ransomware sur les forums cybercriminels est plus décentralisée et plus segmentée qu’auparavant.
Les derniers RaaS à être lancés procèdent au recrutement des affiliés sur les forums de manière légèrement différente par rapport à ce qu’on constatait habituellement. Cela consistait à afficher explicitement le nom du programme d’affiliation, à construire une forte identité de groupe et à avoir un représentant faisant explicitement de la publicité et du recrutement pour l’ensemble du groupe. En revanche, pour contourner les restrictions sur la publicité des ransomware sur certains forums de cybercriminalité, les auteurs de menaces recherchent désormais implicitement des affiliés par le biais d’annonces dissimulées. Sur la base de nos observations, nous constatons que les discussions sont principalement menées via des messages privés.
Ransomware et Initial Access Brokers (IABs) comme facilitateurs d’intrusion
Les IABs sont certainement un élément clé de la chaîne d’approvisionnement RaaS. En fournissant aux groupes de ransomware des points d’accès initiaux aux réseaux d’entreprise, les IABs facilitent la tâche d’un opérateur de ransomware et raccourcissent la durée du cycle d’attaque. BlackCat, Everest, LockBit, AvosLocker, RTM Team, SolidBit sont des groupes de ransomware connus utilisant les services des IABs.
En 2022, nous avons observé une croissance continue de cette menace, parallèlement à quelques évolutions du modus operandi des IABs. Nous avons remarqué un nombre croissant des IABs qui n’agissent plus en tant qu’acteurs indépendants (individus), mais forment plutôt des syndicats bien organisés. Cela indique probablement un niveau de maturité assez avancé atteint sur le marché de l’accès initial frauduleux.
En outre, il y a un nouveau taux de distribution observé entre l’offre et la demande sur le marché. Alors qu’à l’origine, le paysage des IABs était principalement composé de vendeurs d’accès, nous constatons aujourd’hui également une demande d’accès de plus en plus structurée. Cela se reflète dans la montée en puissance des acteurs de la menace (principalement organisés en groupes) qui se spécialisent régulièrement sur l’achat d’accès initiaux en masse. Il est probable que la plupart d’entre eux sont des affiliés RaaS ou coopèrent avec des opérateurs de ransomware.
Prenons l’exemple de l’acteur de la menace « buy-corps ». Il opère sur des forums clandestins en tant qu’acheteur d’accès intéressé par des entreprises à revenu élevé du Canada et des États-Unis d’Amérique, à l’exception des secteurs de l’éducation et de la santé. Il déclare posséder un « logiciel privé » et est particulièrement intéressé par les accès Domain Admin. Il est très probable que cet acteur de la menace se réfère à un programme de ransomware privé. Après avoir analysé ses activités sur le forum, SEKOIA.IO estime avec un degré de confiance moyen qu’il s’agit d’un opérateur de ransomware exécutant des campagnes de type Big Game Hunting.
Conclusion
Les évolutions observées par les analystes de SEKOIA.IO dans le paysage des ransomware au cours des six derniers mois révèlent un niveau plus élevé de professionnalisation des groupes de ransomware. Ils ont généralement tendance à élargir leur champ d’action et à être très rentables tout en réduisant le temps nécessaire pour effectuer une attaque.
D’après nos observations, un nombre croissant de groupes de ransomware existants sont passés à la ligue Big Game Hunting au second semestre 2022. Cela se reflète principalement dans l’adoption par les groupes de ransomware existants de la technique de double extorsion et la mise en place de sites de fuite de données depuis la mi-2022. C’est le cas des ransomware tels que MedusaLocker, Mallox, Trigona et Nokoyawa.
Il est probable que les groupes de ransomware utiliseront de plus en plus des stratagèmes de double ou triple extorsion pour exercer plus de pression sur les victimes et améliorer les chances d’être payés.
Nous observons que le chiffrement des données n’est plus l’argument ultime utilisé par les groupes de ransomware pour faire pression sur les victimes afin qu’elles paient une rançon. L’exfiltration et la fuite de données sont de plus en plus utilisées comme (parfois la seule) technique d’extorsion après une intrusion. Cela soulève la question de :
- L’évolution des techniques d’extorsion exploitées par les groupes de menaces; en particulier les groupes prétendant mener des attaques de ransomware alors qu’ils ne chiffrent pas les données.
- L’impact que cela peut avoir sur les conventions de nommage et la façon dont nous définissons les menaces.
Références
[1] URL consultée le 23 janvier 2023
Lire également nos articles sur :
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Un aperçu détaillé des opérations de Conti – Première partie
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- État de la menace ransomware de Mai 2021
- État de la menace ransomware de la rentrée 2021