Microsoft affirme que le gang de cybercriminels Scattered Spider a ajouté le ransomware Qilin à son arsenal et l'utilise désormais dans ses attaques.

« Au deuxième trimestre 2024, Octo Tempest, notre acteur de menace de ransomware le plus suivi, a ajouté RansomHub et Qilin à ses charges utiles de ransomware dans ses campagnes », Microsoft a déclaré Lundi.

Après avoir fait surface début 2022, ce groupe de menaces (également connu sous les noms d'Octo Tempest, UNC3944 et 0ktapus) a acquis une notoriété suite à sa campagne 0ktapus qui ciblait plus de 130 organisations de premier plan, dont Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games et Best Buy.

Le gang anglophone a également crypté les systèmes de MGM Resorts après avoir rejoint le ransomware BlackCat/ALPHV en tant qu'affilié à la mi-2023 et a été lié par Symantec au RansomHub, ransomware en tant que service.

En novembre, le FBI et la CISA ont publié un avis mettant en évidence les tactiques, techniques et procédures (TTP) de Scattered Spider. Il s'agit notamment de se faire passer pour des employés informatiques pour tromper le personnel du service client afin qu'il leur fournisse des informations d'identification ou d'obtenir une persistance sur les réseaux des cibles à l'aide d'outils d'accès à distance.

D'autres tactiques qu'ils sont connus pour utiliser pour l'accès initial au réseau incluent le phishing, le bombardement MFA (alias fatigue MFA) et l'échange de cartes SIM.

L'opération de ransomware Qilin à laquelle Scattered Spider vient de se joindre a fait surface en août 2022 sous le nom « Agenda » mais a été rebaptisée Qilin un mois plus tard.

Au cours des deux dernières années, le gang Qilin a revendiqué plus de 130 entreprises sur son site de fuite du dark web ; cependant, leurs opérateurs n'étaient pas actifs jusqu'à ce que les attaques reprennent vers la fin de 2023.

Depuis décembre 2023, Qilin développe également l'un des crypteurs Linux les plus avancés et personnalisables pour cibler les machines virtuelles VMware ESXi, que les entreprises privilégient pour leurs besoins en ressources légères.

Comme de nombreux autres groupes de ransomware ciblant les entreprises, les opérateurs de Qilin s'infiltrent dans les réseaux d'une entreprise et extraient des données au fur et à mesure qu'ils se déplacent dans les systèmes de la victime.

Après avoir obtenu les informations d’identification de l’administrateur et collecté toutes les données sensibles, ils déploient les charges utiles du ransomware pour crypter tous les périphériques réseau et exploiter les données volées pour mener des attaques de double extorsion.

Jusqu'à présent, BleepingComputer a vu des demandes de rançon pour Qilin allant de 25 000 $ à des millions de dollars, selon la taille de la victime.

Le mois dernier, le PDG du Centre national de cybersécurité du Royaume-Uni (NCSC) a lié Qilin à une attaque de ransomware qui a frappé le fournisseur de services de pathologie Synnovis début juin et a impacté plusieurs grands hôpitaux du NHS à Londres, les obligeant à annuler des centaines d'opérations et de rendez-vous.