Threat Context Monthly : Résumé analytique pour mars 2024

Bienvenue dans la série de blogs Threat Context Monthly où nous fournissons un résumé complet des actualités les plus pertinentes en matière de cybersécurité et des informations sur les cybermenaces provenant de KrakenLabs, l’équipe de renseignement sur les cybermenaces d’Outpost24. 

Acteur de la menace du mois : blackhunt – Ransomware-as-a-Service (RaaS) 

« blackhunt » est l’acteur de la menace à l’origine de la promotion sur les forums clandestins et Telegram des projets de Ransomware-as-a-Service (RaaS) qui utilisent les souches de ransomware Wing et Black Hunt 2.0. Les deux variantes ont été créées à l’aide d’un générateur de ransomware LockBit ayant fait l’objet d’une fuite.

Wing RaaS: on l’évoque pour la première fois le 28 janvier 2024. Il promet aux affiliés 70 % de chaque paiement et des options de personnalisation, comme les extensions des fichiers cryptés ou la note de rançon. Il introduit également la notion de représentant. Elle désigne une personne qui recommande le projet à d’autres personnes et qui recevra en contrepartie 10 % de chaque paiement généré par la personne qu’elle a recommandée.

Black Hunt 2.0. RaaS: le ransomware Black Hunt a été observé pour la première fois en novembre 2022 et, à la mi-2023, une nouvelle version apparaît sous le nom de Black Hunt 2.0. Cependant, ce n’est qu’en mars 2024 que blackhunt fait la publicité du RaaS sur le forum clandestin RAMP, le présentant comme projet uniquement axé sur la compromission de grandes cibles pour des montants élevés.

On ne sait toujours pas pourquoi le groupe a mis autant de temps à faire la publicité du projet Black Hunt. Les analystes d’Outpost24 KrakenLabs estiment que ce retard pourrait être lié aux  efforts déployés par le groupepour attirer l’attention desaffiliés du« LockBit Group » à la suite de sa saisie. Cette hypothèse est étayée par le timing et l’approche voulue par Big Game Hunting, mais également en raison d’une note dans laquelle l’utilisateur souligne les avantages de son système par rapport à d’autres RaaS dans l’éventualité d’un piratage.

Message de blackhunt dans Black Hunt 2.0. Publication de RaaS soulignant leurs avantages par rapport à d’autres RaaS en cas de piratage. Source : RAMP.

Les analystes d’Outpost24 KrakenLabs pensent que blackhunt aurait également utilisé le pseudonyme « b0rn_villain » sur Telegram. Avec cette identité, l’utilisateur serait probablement responsable d’une chaîne nommée « bl4nk_room »,créée en 2017, qui partage des informations liées au piratage informatique à la fois en anglais et en arabe.

Threat Spotlight : Opération Cronos – Les forces de l’ordre perturbent LockBit RaaS

Fin février, l’opération Cronos, un groupe de travail mondial de répression auquel participent dix pays et Europol, a démantelé l’ infrastructure clé de LockBit et saisi plus de 200 portefeuilles de crypto-monnaie. Cette opération a compromis la plateforme principale de LockBit, a mis hors service 34 serveurs dans le monde et a permis de récupérer plus de 1 000 clés de décryptage, ce qui a conduit à la mise au point d’un outil de décryptage gratuit disponible sur le portail « No More Ransom ». En outre, ils ont obtenu de leurssystèmes « une grande quantité de renseignements sur leurs activités et sur ceux qui ont travaillé avec eux ». À cet égard, les autorités ont diffusé des captures d’écran et des documents internes sur le blog du groupe, y compris des informations sur les affiliés et des clichés du panneau d’administration de LockBit. Sur le plan physique, deux personnes ont été arrêtées en Pologne et en Ukraine et les États-Unis ont révélé les actes d’inculpations à l’encontre de deux autres ressortissants russes.

Publication faite par les autorités concernant l’identification de LockbitSupp. Source : Seized Lockbit’s DLS – N’est plus disponible.

Après la saisie, le groupe LockBit est réapparu le 24 février avec un nouveau DLS et a commencé à publier des informations sur des victimes – mais qui avaient déjà été publiées sur leur ancien DLS. Ils ont également publié un message directement adressé aux autorités. Voici quelques idées que les analystes d’Outpost24 KrakenLabs ont extraites du manifeste du groupe :

  • Le groupe LockBit n’a pas l’intention de cesser ses activités.
  • Le serveur des panneaux d’administration et de chat de la victime ainsi que le serveur du blog exécutaient PHP 8.1.2 et ont probablement été piratés à l’aide d’une vulnérabilité critique répertoriée sous le nom de CVE-2023-3824.
  • Selon eux, la saisie a été effectuée pour éviter la publication d’informations sensibles, susceptibles d’affecter les prochaines élections américaines.
  • Les autorités n’ont pas obtenu tous les décrypteurs, mais seulement quelques décrypteurs temporaires non protégés.
  • Les deux personnes arrêtées sont probablement des blanchisseurs d’argent, et non des pentesters ou des affiliés.
  • Le groupe nie toute relation avec « EvilCorp » ; selon LockBit, ils ont simplement utilisé par hasard le même service de mélange de crypto-monnaies.

En complément de l’opération Cronos, le département d’État américain offre une récompense de 15 millions de dollars pour toute information sur les dirigeants de LockBit et les affiliés désignés. Les représentants de LockBit ont annoncé qu’ils doubleraient la prime sur leur propre tête si quelqu’un parvenait à les démasquer. On constate ainsi que le groupe lutte pour sa réputation et sa survie et tente de se moquer des autorités et de contester leurs découvertes tout en minimisant leurs réalisations.

Les faits marquants observés par KrakenLabs 

Menace émergente 

Intelligence artificielle: Cinq états-nations de la Chine, de l’Iran, de la Corée du Nord et de la Russie ont été détectés utilisant de grands modèles de langage (LLM) pour des tâches telles que la compréhension des protocoles de communication par satellite et l’aide au codage. Leurs activités liées à OpenAI ont été perturbées, mettant l’accent sur une surveillance accrue de la part des prestataires de services. En savoir plus →

Intelligence artificielle: Les chercheurs ont trouvé un augmentation du nombre d’identifiants ChatGPT à vendre , obtenus à partir d’appareils infectés par des voleurs. Les trois voleurs ayant compromis le plus grand nombre d’hôtes avec des accès ChatGPT entre juin et octobre 2023 sont LummaC2, Raccoon et RedLine. En savoir plus →

Vulnérabilités 

Après la divulgation, le 19 février 2024, de deux vulnérabilités dans le logiciel ConnectWise ScreenConnect (CVE-2024-1708 / 1709), divers groupes de ransomware tels que« Black Basta »,« Bl00dy Group » et« ALPHV/Blackcat » ont été observés en train de les exploiter pour obtenir un accès et un contrôle non autorisés sur les systèmes affectés. Les jours après la saisie du Groupe LockBit, LockBit 3.0. ransomware (dont le constructeur a été divulgué en 2022) a également été diffusé après l’exploitation de ces failles dans des attaques qui ne peuvent être attribuées au groupe récemment saisi. En savoir plus → / plus → / et plus →

Ransomware 

Exit scam: « ALPHV/BlackCat» Les opérateurs RaaS ont décidé de mettre fin à leurs activités, en postant une fausse image sur leur DLS, prétendant avoir été saisis par les autorités, dans une tentative de cacher leur escroquerie à la sortie. Selon un affilié présumé du groupe surnommé« notchy», le groupe a pris cette décision après avoir reçu un paiement de 22 millions de dollars US de la part de la société américaine Optum. En savoir plus → / et plus →

Nouvelles entreprises: Les groupes de ransomware adoptent une nouvelle tactique de monétisation en vendant un accès direct au réseau, traditionnellement associé aux courtiers d’accès initial (Initial Access Brokers, IAB). Ces ventes ont lieu sur des canaux DLS ou Telegram, avec des cas notables impliquant le LockBit Group, « Stormous»et « Everest». En savoir plus →

Nombre de victimes répertoriées sur les Data Leak Sites surveillés par les groupes de ransomware au cours des 30 derniers jours.

En savoir plus sur Threat Compass  

Vous en voulez plus ? Commencez avec Threat Compass pour recevoir les dernières informations exploitables de notre équipe d’analystes internes de classe mondiale. 

Quoi de neuf dans Threat Context ce mois-ci ? 

Acteurs de la menace : blackhunt, darksenator, Inc. Ransom, NakedPages, Passion Team, RansomHub, raya, ResumeLooters, UNC4990, UNC5325, UNC3886, SoIntsepek, Ares Leaks, R00TK1T ISC, etc.

Outils : Atlantida, CoatHanger, DSLog, FBot, Inc. Ransomware, Mario, MrAgent, NakedPages, bfBot, Fauppod, Symbiote, etc.

et bien plus encore ! 

Demandez une démo de Threat Compass 

About the Author

KrakenLabs Threat Intelligence Team, Outpost24

KrakenLabs est l'équipe de Cyber Threat Intelligence d'Outpost24. Notre équipe aide les entreprises à garder une longueur d'avance sur les acteurs malveillants dans un paysage de menaces en constante évolution, vous aidant ainsi à préserver vos actifs et la réputation de votre marque. Grâce à une infrastructure complète de chasse aux menaces, notre solution de Threat Intelligence couvre un large éventail de menaces sur le marché afin d'aider votre entreprise à détecter et à dissuader les menaces externes.

Traduit avec DeepL.com (version gratuite)