concept w - stock.adobe.com
Ransomware : la fin de l’extravagance ?
Après plusieurs mois marqués par des revendications de cyberattaques en grand nombre, détonant avec les observations en France et les tendances passées, octobre pourrait bien signaler le retour d’une forme de normalité.
En octobre, nous avons recensé 376 cyberattaques et revendications à travers le monde, un volume comparable à celui du mois de mai… et surtout celui d’octobre 2021. Au passage, nous avons relevé notre compte pour septembre de 396 à 407.
Cette progression est notamment due aux corrections rendues nécessaires par les pratiques de certains affidés de la franchise mafieuse LockBit 3.0, déjà observées en septembre et durant l’été.
Ainsi, une soixante de revendications a été publiée sur le site vitrine de LockBit 3.0 au mois d’octobre. Parmi elles, au moins 19 concernent des événements survenus en septembre et deux se rapportent à des faits remontant au mois d’août.
Accessoirement, 5 des revendications publiées en octobre par LockBit ont été retirées. Dix sont présentées comme ayant donné lieu à divulgation des données volées, mais ce n’est pas le cas à ce jour. Et enfin 12 ne sont pas encore arrivées à échéance au moment où ces lignes sont écrites.
Le groupe Play s’est montré particulièrement revendicatif en octobre, et tout particulièrement durant la seconde moitié du mois, avec un total de plus de 40 revendications. Derrière on relève notamment Alphv, NoEscape, 8base ou encore Medusa. Découvert en septembre, Knight affiche un niveau d’activité en croissance modérée.
L’Amérique du Nord est, comme d’habitude, largement représentée et en tête de classement régional. Mais de ce côté de l’Atlantique, le Royaume-Uni et l’Irlande arrivent en tête avec 32 cas répertoriés. La région Allemagne-Autriche-Suisse se contente de 20, l’un des niveaux les plus bas depuis le début de l’année.
Sur le terrain, Antoine Coutant, responsable de la practice CERT de Synetis, indique que ses équipes ont été mobilisées sur plus d’une dizaine de dossiers en octobre, avec en particulier les groupes NoEscape et INC ransom, l’« utilisation frauduleuse d’Office365, l’exploitation de la vulnérabilité Cisco CVE-2023-20198, l’exploitation d’une API graphQL, la campagne d’hameçonnage avec le logiciel malveillant DarkGate, etc. Sur un dossier, nous sommes également intervenus sur un serveur Exchange sur lequel la vulnérabilité ProxyShell (bien connue depuis 2021) a été exploitée ».
DarkGate, une nouvelle menace bien présente
Il n’est pas le seul à avoir été confronté à DarkGate, un logiciel malveillant qui fait particulièrement parler de lui des spécialistes du renseignement sur les menaces depuis l’été.
Fabian Cosset, responsable des activités de renseignement sur les menaces d’Advens, justement, constate que DarkGate a notamment été utilisé, entre fin septembre et courant octobre, dans des campagnes à destination des entreprises françaises.
Il rappelle : « DarkGate, développé en 2017, semble être commercialisé depuis juin 2023 comme MaaS [Malware as a Service, ou maliciel en mode service, N.D.L.R.] ». Son développeur « a apporté des améliorations au mois de juillet » pour en renforcer la furtivité vis-à-vis des systèmes de protection des serveurs et postes de travail. En outre, « les diverses publications du développeur indiquent que DarkGate serait en mesure d’intégrer les machines infectées dans des botnets de minage de cryptomonnaie ».
Fabian Cosset décrit le mode opératoire observé : « le vecteur d’infection est Teams, avec une invitation des victimes dans une conversation de groupe, dans lequel la cible est incitée à récupérer une archive protégée par un mot de passe présent dans la conversation ».
L’archive en question « contient des fichiers [à l’apparence de fichiers] pdf qui sont en fait des .lnk en charge de télécharger des fichiers vbs ». De là, « chaque fichier vbs télécharge l’exécutable autoit3.exe depuis un dépôt ainsi qu’un fichier au3 ». C’est lui qui constitue la souche virale de DarkGate.
L’utilisation de DarkGate est attribuée à l’acteur malveillant suivi sous la référence TA577, adepte d’IcedId, DarkGate et Pikabot, depuis que Qakbot n’est plus disponible. En bout de chaîne, les victimes peuvent s’attendre notamment à un rendez-vous avec le ransomware BlackBasta.
Des nouveautés en approche
Un nouveau ransomware, baptisé qBit, a été présenté fin octobre. Actuellement en bêta, il apparaît essentiellement écrit en Go. Son auteur s’occupe également de son propre infostealer.
Deux semaines plus tôt, le groupe GhostSec annonçait quant à lui son propre rançongiciel en mode service, Ghost Locker. Initialement, il est proposé à 999 $ pour une licence à vie, pour les 15 premiers achats.
En outre, le code source du ransomware HelloKitty a été divulgué sur un forum russophone bien connu des cybercriminels – notamment –, ouvrant la voie à de potentielles adaptations.
Enfin, le groupe Alphv a lancé un programme d’affiliation « AffiliatePlus » visant à motiver ses affidés à travailler et rapporter plus à la franchise : à partir de 1,5 million de dollars de revenus générés, l’affilié peut accéder à Munhckin, conçu pour chiffrer les données sur les hôtes à systèmes d’exploitation basés sur Linux.
Situation stable en France
Dans l’Hexagone, cybermalveillance.gouv.fr a reçu, en octobre, un nombre de demandes d’assistance encore stable et toujours relativement faible (150), secteurs privé et public confondus, hors particuliers. C’est autant qu’en novembre 2022, et comparable à décembre 2022, janvier 2023, ou encore mars et mai derniers. De notre côté, nous avons recensé 13 cas connus publiquement.