Les acteurs de la menace derrière le système de ransomware en tant que service (RaaS) RansomHub ont été observés en train d’exploiter des failles de sécurité désormais corrigées dans Microsoft Active Directory et le protocole Netlogon pour augmenter les privilèges et obtenir un accès non autorisé au contrôleur de domaine du réseau d’une victime dans le cadre de leur stratégie post-compromission.

« RansomHub a ciblé plus de 600 organisations dans le monde, couvrant des secteurs tels que la santé, la finance, le gouvernement et les infrastructures critiques, ce qui en fait le groupe de ransomware le plus actif en 2024 », ont déclaré les analystes de Group-IB dans un rapport exhaustif publié cette semaine.

Le groupe de ransomware est apparu pour la première fois en février 2024, en acquérant le code source associé au gang Knight (anciennement Cyclops) RaaS, aujourd’hui disparu, auprès du forum de cybercriminalité RAMP pour accélérer ses opérations. Environ cinq mois plus tard, une version mise à jour du casier a été annoncée sur le marché illicite avec des capacités de chiffrement de données à distance via le protocole SFTP.

Il existe plusieurs variantes capables de crypter des fichiers sur des serveurs Windows, VMware ESXi et SFTP. RansomHub a également été observé en train de recruter activement des affiliés des groupes LockBit et BlackCat dans le cadre d’un programme de partenariat, ce qui indique une tentative de capitaliser sur les actions des forces de l’ordre visant ses rivaux.

Dans l’incident analysé par la société de cybersécurité singapourienne, l’acteur de la menace aurait tenté sans succès d’exploiter une faille critique affectant les appareils PAN-OS de Palo Alto Networks ( CVE-2024-3400 ) en utilisant une preuve de concept (PoC) accessible au public, avant de finalement pénétrer le réseau de la victime au moyen d’une attaque par force brute contre le service VPN.

« Cette tentative de force brute s’appuyait sur un dictionnaire enrichi de plus de 5 000 noms d’utilisateur et mots de passe », ont expliqué les chercheurs. « L’attaquant a finalement réussi à accéder au système via un compte par défaut fréquemment utilisé dans les solutions de sauvegarde de données, et le périmètre a finalement été violé. »

L’accès initial a ensuite été exploité pour mener l’attaque par ransomware, le cryptage et l’exfiltration des données ayant eu lieu dans les 24 heures suivant la compromission.

En particulier, il s’agissait d’exploiter deux failles de sécurité connues dans Active Directory ( CVE-2021-42278 alias noPac) et le protocole Netlogon ( CVE-2020-1472 alias ZeroLogon ) pour prendre le contrôle du contrôleur de domaine et effectuer des mouvements latéraux sur le réseau.

« L’exploitation des vulnérabilités mentionnées ci-dessus a permis à l’attaquant d’obtenir un accès privilégié complet au contrôleur de domaine, qui est le centre névralgique d’une infrastructure basée sur Microsoft Windows », ont déclaré les chercheurs.

« Une fois les opérations d’exfiltration terminées, l’attaquant a préparé l’environnement pour la phase finale de l’attaque. L’attaquant a procédé de manière à rendre toutes les données de l’entreprise, enregistrées sur les différents NAS, complètement illisibles et inaccessibles, ainsi qu’inadmissibles à restaurer, dans le but de forcer la victime à payer la rançon pour récupérer ses données. »

Un autre aspect notable de l’attaque est l’utilisation de PCHunter pour arrêter et contourner les solutions de sécurité des terminaux, ainsi que de Filezilla pour l’exfiltration de données.

« Les origines du groupe RansomHub, ses opérations offensives et ses caractéristiques communes avec d’autres groupes confirment l’existence d’un écosystème de cybercriminalité dynamique », ont déclaré les chercheurs.

« Cet environnement prospère grâce au partage, à la réutilisation et au changement de marque des outils et des codes sources, alimentant ainsi un marché souterrain robuste où des victimes de premier plan, des groupes infâmes et des sommes d’argent substantielles jouent un rôle central. »

Cette évolution intervient alors que la société de cybersécurité a détaillé le fonctionnement interne d’un « formidable opérateur RaaS » connu sous le nom de Lynx , mettant en lumière leur flux de travail d’affiliation, leur arsenal de ransomware multiplateforme pour les environnements Windows, Linux et ESXi, et les modes de cryptage personnalisables.

Une analyse des versions Windows et Linux du ransomware montre qu’il ressemble beaucoup au ransomware INC, indiquant que les acteurs de la menace ont probablement acquis le code source de ce dernier.

« Les affiliés sont récompensés par une part de 80 % des revenus de la rançon, ce qui reflète une stratégie concurrentielle axée sur le recrutement », a-t-il déclaré . « Lynx a récemment ajouté plusieurs modes de chiffrement : « rapide », « moyen », « lent » et « complet », ce qui donne aux affiliés la liberté d’ajuster le compromis entre la vitesse et la profondeur du chiffrement des fichiers. »

« Les messages de recrutement du groupe sur les forums clandestins mettent l’accent sur un processus de vérification rigoureux pour les pentesters et les équipes d’intrusion qualifiées, soulignant l’importance accordée par Lynx à la sécurité opérationnelle et au contrôle qualité. Ils proposent également des « centres d’appels » pour harceler les victimes et des solutions de stockage avancées pour les affiliés qui fournissent systématiquement des résultats rentables. »

Ces dernières semaines, des attaques à motivation financière ont également été observées, utilisant le malware botnet Phorpiex (alias Trik) propagé via des e-mails de phishing pour diffuser le ransomware LockBit .

« Contrairement aux incidents de ransomware LockBit précédents, les acteurs malveillants se sont appuyés sur Phorpiex pour diffuser et exécuter le ransomware LockBit », a noté Cybereason dans une analyse. « Cette technique est unique car le déploiement du ransomware consiste généralement en des opérateurs humains menant l’attaque. »

Un autre vecteur d’infection initial important concerne l’exploitation d’appareils VPN non corrigés (par exemple, CVE-2021-20038) pour accéder aux périphériques et hôtes du réseau interne et, finalement, déployer le ransomware Abyss Locker .

Les attaques se caractérisent également par l’utilisation d’outils de tunneling pour maintenir la persistance, ainsi que par l’exploitation des techniques BYOVD (Bring Your Own Vulnerable Driver ) pour désactiver les contrôles de protection des points de terminaison.

« Après avoir accédé à l’environnement et effectué une reconnaissance, ces outils de tunneling sont déployés de manière stratégique sur des périphériques réseau critiques, notamment les hôtes ESXi, les hôtes Windows, les appareils VPN et les périphériques de stockage en réseau (NAS) », ont déclaré les chercheurs de Sygnia .

« En ciblant ces appareils, les attaquants s’assurent de disposer de canaux de communication robustes et fiables pour maintenir l’accès et orchestrer leurs activités malveillantes sur le réseau compromis. »

Le paysage des ransomwares – mené par des acteurs malveillants nouveaux et anciens – continue de fluctuer, les attaques passant du cryptage traditionnel au vol de données et à l’extorsion, même si les victimes refusent de plus en plus de payer, ce qui entraînera une baisse des paiements en 2024.

« Des groupes comme RansomHub et Akira encouragent désormais le vol de données avec de grosses récompenses, ce qui rend ces tactiques très lucratives », a déclaré la société de cybersécurité Huntress .