Les cybercriminels sous-traitent de plus en plus la tâche de déploiement de ransomwares à des affiliés à l’aide de logiciels malveillants et d’outils d’attaque de base, selon de nouvelles recherches.
Dans une nouvelle analyse publiée par Sophos aujourd’hui et partagée avec The Hacker News, les récents déploiements de Ryuk et Egregor ransomware ont impliqué l’utilisation de SystemBC porte dérobée pour se déplacer latéralement sur le réseau et récupérer des charges utiles supplémentaires pour une exploitation ultérieure.
Les affiliés sont généralement des acteurs de la menace chargés de s’implanter dans un réseau cible.
«SystemBC fait régulièrement partie des boîtes à outils des récents attaquants de ransomwares», a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos et ancien rédacteur en chef de la sécurité nationale d’Ars Technica.
« La porte dérobée peut être utilisée en combinaison avec d’autres scripts et logiciels malveillants pour effectuer la découverte, l’exfiltration et le mouvement latéral de manière automatisée sur plusieurs cibles. Ces capacités SystemBC étaient à l’origine destinées à une exploitation de masse, mais elles ont maintenant été intégrées dans la boîte à outils pour cibler attaques – y compris les ransomwares. «
D’abord documenté par Proofpoint en août 2019, SystemBC est un malware proxy qui exploite CHAUSSETTES5 protocole Internet pour masquer le trafic vers les serveurs de commande et de contrôle (C2) et télécharger le DanaBot Trojan bancaire.
Le SystemBC RAT a depuis élargi l’étendue de son ensemble d’outils avec de nouvelles caractéristiques qui lui permettent d’utiliser une connexion Tor pour crypter et masquer la destination des communications C2, offrant ainsi aux attaquants une porte dérobée persistante pour lancer d’autres attaques.
Les chercheurs notent que SystemBC a été utilisé dans un certain nombre d’attaques de ransomware – souvent en conjonction avec d’autres outils de post-exploitation comme CobaltStrike – pour tirer parti de son proxy Tor et de ses fonctionnalités d’accès à distance pour analyser et exécuter des commandes shell malveillantes, des scripts VBS et d’autres Blobs DLL envoyés par le serveur via la connexion anonyme.
Il semble également que SystemBC n’est que l’un des nombreux outils de base déployés à la suite d’un compromis initial résultant d’e-mails de phishing qui fournissent chargeurs de logiciels malveillants comme Buer Loader, Zloader et Qbot – ce qui amène les chercheurs à soupçonner que les attaques peuvent avoir été lancées par des affiliés des opérateurs de ransomwares, ou par les gangs de ransomwares eux-mêmes via plusieurs fournisseurs de logiciels malveillants en tant que service.
« Ces capacités donnent aux attaquants une capacité de pointer-et-tirer pour effectuer des découvertes, des exfiltrations et des mouvements latéraux avec des scripts et des exécutables emballés – sans avoir à avoir les mains sur un clavier », ont déclaré les chercheurs.
La montée des logiciels malveillants de base indique également une nouvelle tendance où le ransomware est proposé en tant que service aux affiliés, comme c’est le cas de MountLocker, où les opérateurs fournissent une double capacité d’extorsion aux affiliés afin de distribuer le ransomware avec un minimum d’effort.
« L’utilisation de plusieurs outils dans les attaques de ransomware-as-a-service crée un profil d’attaque de plus en plus diversifié qui est plus difficile à prévoir et à gérer pour les équipes de sécurité informatique », a déclaré Gallagher. « La défense en profondeur, la formation des employés et la chasse aux menaces humaines sont essentielles pour détecter et bloquer de telles attaques. »