S'inscrire

Cybersécurité - 19/10/2024

Crypt Ghouls cible les entreprises russes avec des attaques de ransomware LockBit 3.0 et Babuk

Hacker utilisant un outil de cybersécurité

Un acteur de menace naissant connu sous le nom de Crypt Ghouls a été lié à une série de cyberattaques ciblant des entreprises et des agences gouvernementales russes avec des ransomwares dans le double objectif de perturber les opérations commerciales et de réaliser des gains financiers.

« Le groupe étudié dispose d’une boîte à outils comprenant des utilitaires tels que Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec et d’autres », a déclaré Kaspersky . « Comme charge utile finale, le groupe a utilisé les célèbres ransomwares LockBit 3.0 et Babuk. »

Les victimes de ces attaques malveillantes sont des agences gouvernementales, ainsi que des sociétés minières, énergétiques, financières et de vente au détail situées en Russie.

Le fournisseur russe de cybersécurité a déclaré avoir été en mesure d’identifier le vecteur d’intrusion initial dans seulement deux cas, les acteurs de la menace exploitant les informations de connexion d’un sous-traitant pour se connecter aux systèmes internes via VPN.

Les connexions VPN proviendraient d’adresses IP associées au réseau d’un hébergeur russe et au réseau d’un sous-traitant, ce qui indique une tentative de passer sous le radar en exploitant les relations de confiance. On pense que les réseaux des sous-traitants sont piratés au moyen de services VPN ou de failles de sécurité non corrigées.

La phase d’accès initiale est suivie par l’utilisation des utilitaires NSSM et Localtonet pour maintenir l’accès à distance, avec une exploitation ultérieure facilitée par des outils tels que les suivants :

  • XenAllPasswordPro pour récolter les données d’authentification
  • Porte dérobée CobInt
  • Mimikatz va extraire les identifiants des victimes
  • dumper.ps1 pour vider les tickets Kerberos du cache LSA
  • MiniDump pour extraire les identifiants de connexion de la mémoire de lsass.exe
  • cmd.exe pour copier les informations d’identification stockées dans les navigateurs Google Chrome et Microsoft Edge
  • PingCastle pour la reconnaissance du réseau
  • PAExec pour exécuter des commandes à distance
  • AnyDesk et proxy SOCKS5 de Resocks pour l’accès à distance

Les attaques se terminent par le chiffrement des données du système à l’aide de versions accessibles au public de LockBit 3.0 pour Windows et Babuk pour Linux/ESXi, tout en prenant des mesures pour chiffrer les données présentes dans la corbeille afin d’empêcher leur récupération.

« Les attaquants laissent une demande de rançon avec un lien contenant leur identifiant dans le service de messagerie Session pour un contact ultérieur », a déclaré Kaspersky. « Ils se connectent au serveur ESXi via SSH, téléchargent Babuk et lancent le processus de chiffrement des fichiers dans les machines virtuelles. »

Le choix des outils et de l’infrastructure de Crypt Ghouls dans ces attaques recoupe des campagnes similaires menées par d’autres groupes ciblant la Russie ces derniers mois, notamment MorLock , BlackJack, Twelve , Shedding Zmiy (alias ExCobalt)

« Les cybercriminels exploitent des identifiants compromis, appartenant souvent à des sous-traitants, et des outils open source populaires », a déclaré l’entreprise. « La boîte à outils commune utilisée dans les attaques contre la Russie rend difficile l’identification des groupes hacktivistes spécifiques impliqués. »

« Cela suggère que les acteurs actuels ne partagent pas seulement leurs connaissances, mais aussi leurs outils. Tout cela ne fait que rendre plus difficile l’identification des acteurs malveillants spécifiques derrière la vague d’attaques dirigées contre les organisations russes. »

Sujets récents