Le Bulletin Cyber – La montée et la chute des groupes de ransomwares

Thématiques associées Cybersécurité EY Consulting

Le Bulletin Cyber EY : un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.

Introduction

L’année 2022 a commencé avec l’annonce de l’arrestation de membres du groupe opérant le ransomware REvil marquant une nouvelle étape vers la fin de ses activités malveillantes.

Un nouveau ransomware ciblant une banque américaine a été cependant découvert par les chercheurs de TrendMicro. Ce ransomware emprunterait quelques techniques et tactiques utilisées par Egregor.

Enfin, nous aborderons la vulnérabilité PwnKit, amenant à une élévation de privilège locale, affectant les systèmes Linux ; et l’attaque détectée sur SolarWinds Software par de nouveaux malwares.

Des membres des acteurs malveillants opérant pour le ransomware REvil arrêtés en Russie

Réquisitions du service fédéral de sécurité de la Fédération de Russie

+ 426 000 ₽

saisis par le FSB.

Selon le FSB (Service fédéral de sécurité de la Fédération de Russie), les autorités russes ont perquisitionné 25 lieux, conduisant à l'arrestation de 14 membres présumés du gang du ransomware REvil.

Dans le processus, le FSB a saisi plus de 426 000 ₽ (roubles russes), 600 000$, 500 000€, ainsi que du matériel informatique, des portefeuilles de cryptomonnaie utilisés pour commettre des crimes, et 20 voitures de luxe qui ont été achetées avec de l'argent obtenu par des moyens illicites¹.

Au cours de leurs opérations malveillantes, le ransomware REvil a mené de multiples cyberattaques, qui ont coûté aux utilisateurs touchés dans le monde entier environ 200 millions de dollars en paiements de rançon².

Dans l'une de leurs activités les plus sophistiquées de l'année dernière, REvil était à l'origine des attaques très médiatisées contre JBS³ et Kaseya⁴. Le gouvernement américain a déclaré à Reuters⁵ que l'un des individus arrêtés était responsable de l'attaque par ransomware contre Colonial Pipeline⁶ en mai 2021, ce qui confirme les liens de REvil avec un deuxième groupe appelé DarkSide.

Les cybercriminels arrêtés pourraient encourir jusqu'à sept ans de prison. C'est la première fois depuis des années que les États-Unis et la Russie collaborent sur une opération d’anti-cybercriminalité.

Un nouveau ransomware “White Rabbit” a été détecté

L'une des méthodes les plus discrètes pour dissimuler une activité malveillante consiste à faire en sorte que le binaire malveillant nécessite un mot de passe en ligne de commande spécifique pour être exécuté. Cette technique était auparavant employée par le gang de ransomware Egregor pour éviter les détections, elle a maintenant été adoptée par un nouveau gang appelé « White Rabbit ».

Les chercheurs de Trend Micro⁷ affirment que le ransomware dépose une note pour chaque fichier qu'il chiffre, chaque note porte le nom du fichier chiffré et est complétée par ".scrypt.txt".

Les acteurs du ransomware White Rabbit ont été repérés en utilisant la double extorsion et en menaçant les victimes de divulguer leurs données volées au cas où elles ne paieraient pas la rançon. Certains éléments de preuve démontrent l'utilisation des commandes Cobalt Strike pour déposer la charge utile malveillante dans le système affecté.

Selon l'équipe de Lodestone Forensic Investigations⁸, qui a été la première à repérer le gang White Rabbit, le ransomware est probablement lié au groupe à motivation financière FIN⁸⁹. La découverte de ce nouveau ransomware est intervenue après une enquête approfondie sur une attaque contre une banque américaine qui a eu lieu en décembre 2021.

Lodestone et Trend Micro ont tous deux publié des indicateurs de compromission permettant de détecter les opérations de White Rabbit. Les mesures de sécurité suivantes sont recommandées :

  • Déployer des solutions capables de détecter et de répondre aux activités, techniques et mouvements des ransomwares.
  • Mettre en place des processus de prévention et le rétablissement des attaques.
  • Effectuer des simulations d'attaques : exposer les employés à une simulation de cyberattaque réaliste qui peut aider les décideurs, le personnel de sécurité et les équipes de réponse à incident à identifier et à se préparer à d'éventuelles lacunes de sécurité et attaques.

La vulnérabilité “PwnKit” découverte, une élévation de privilège locale affectant les systèmes Linux

Des chercheurs signalent aujourd'hui l'existence de PwnKit, une vulnérabilité liée au composant pkexec de Polkit. Tout utilisateur non privilégié est en mesure d'exploiter cette faille pour obtenir les privilèges complets de l'utilisateur root. Étant donné que toutes les principales distributions Linux ont pkexec installé sur le système, nous pouvons supposer qu'il est possible d'exploiter cette faille sur toutes les principales distributions Linux.

Même si le daemon polkit n’est pas en cours d’exécution, cette vulnérabilité est toujours exploitable, car elle est également indépendante de l'architecture. C'est pourquoi les administrateurs Linux devraient corriger ce bogue dès que possible. Polkit (Policy Kit) est une bibliothèque installée par défaut sur les principales distributions de Linux. Il permet aux applications s'exécutant avec des droits restreints d'interagir avec des services privilégiés du système.

La faille réside dans l'outil pkexec qui fait partie de la bibliothèque polkit et a été présente pendant plus de douze ans depuis la première version de pkexec publiée en mai 2009¹⁰. La vulnérabilité a été nommée PwnKit et a été affecté à l’identifiant CVE-2021-4034¹¹ avec un score CVSS de 7,81.

Cette vulnérabilité est l'une des failles les plus faciles à exploiter et en raison de l'énorme surface d'attaque sur les systèmes d'exploitation Linux et non Linux, tous les administrateurs système et les utilisateurs Linux doivent appliquer les correctifs immédiatement.

Si les correctifs ne sont pas disponibles pour votre système d'exploitation, Qualys recommande de supprimer le bit SUID de pkexec comme solution temporaire¹².

SolarWinds Software visée par un nouveau malware

Selon l'équipe de réponse aux incidents de CrowdStrike¹³, deux nouveaux logiciels malveillants ont été observés dans les systèmes SolarWinds, la première est une variante Linux nommée GoldMax et la seconde est une nouvelle variante malware baptisée TrailBlazer.

Ces activités ont été attribuées à un groupe malveillant russe nommé APT29 (alias Cozy Duke), un groupe de cyber espionnage hautement qualifié et organisé, responsable du déploiement de GoldMax, utilisé comme porte dérobée de commande et de contrôle dans les systèmes des victimes.

Après investigation, CrowdStrike a révélé dans son blog les nouvelles techniques appliquées par le groupe malveillant telles que :

  • L’utilisation d’identifiants différents lors de mouvements latéraux
  • Détournement, usurpation d'identité et manipulation des principaux services et applications d'Office 365 (O365)
  • Vol de cookies de navigateur pour contourner l'authentification multifactorielle
  • Utilisation du malware TrailBlazer et de la variante Linux du malware GoldMax
  • Usurpation de compte à l'aide de Get-ADReplAccount
La campagne StellarParticle, associée au groupe malveillant Cozy Bear, démontre la connaissance approfondie de cet acteur de la menace des systèmes d'exploitation Windows et Linux, de Microsoft Azure, O365 et Active Directory, ainsi que sa patience et ses compétences pour rester indétecté pendant des mois - et dans certains cas, des années.
Chercheurs en sécurité chez CrowdStrike

Enfin, les utilisateurs doivent être attentifs à ce type de campagne malveillante en restant à jour et en appliquant des correctifs à leurs systèmes.

Conclusion

Le démantèlement progressif du groupe REvil continue avec l’arrestation en début d’année de membres russes de ce gang autrefois dénommée « The crown prince of ransomware » (soit « le prince héritier du ransomware »). Le combat des autorités contre le cybercrime ne s’arrêtera pas pour autant, avec l’apparition toujours plus importante de nouveaux malwares, groupes de ransomware et vulnérabilités à exploiter ; le roi est mort, vive le roi.

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts :

  • Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
  • War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
  • Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
  • CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
  • ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.