Les groupes de cyberespionnage utilisent les ransomwares comme tactique pour rendre l’attribution des attaques plus difficile, distraire les défenseurs ou pour obtenir une récompense financière en tant qu’objectif secondaire du vol de données.

Un rapport conjoint de SentinelLabs et des analystes de Recorded Future présente le cas de ChamelGang, une menace persistante avancée (APT) chinoise présumée qui utilise la souche de ransomware CatB dans des attaques qui affectent des organisations de premier plan dans le monde entier.

Un cluster d’activités distinct utilise BestCrypt et Microsoft BitLocker pour atteindre des objectifs similaires, bien que l’attribution ne soit pas claire.

Ciblage du ChamelGang
ChamelGang est également connu sous le nom de CamoFei et a ciblé des organisations gouvernementales et des entités d’infrastructures critiques entre 2021 et 2023.

Le groupe utilise des techniques sophistiquées pour obtenir un accès initial, pour la reconnaissance et le mouvement latéral, et pour exfiltrer des données sensibles.

Lors d’une attaque en novembre 2022, les auteurs de la menace ont ciblé la présidence du Brésil et compromis 192 ordinateurs. L’adversaire s’est appuyé sur des outils de reconnaissance standard pour cartographier le réseau et recueillir des informations sur les systèmes critiques.

Lors de la dernière étape de l’attaque, ChamelGang a déployé le ransomware CatB sur le réseau, déposant des notes de rançon au début de chaque fichier crypté. Ils ont fourni une adresse ProtonMail pour le contact et une adresse Bitcoin pour le paiement.

Note de rançon CatB

L’attaque a été initialement attribuée à TeslaCrypt, mais SentinelLabs et Recorded Future présentent de nouvelles preuves qui pointent vers ChamelGang.

Lors d’un autre incident survenu fin 2022, ChamelGang a violé l’université et l’hôpital publics de recherche médicale de l’Institut indien des sciences médicales (AIIMS). L’auteur de la menace a de nouveau utilisé le ransomware CatB, provoquant des perturbations majeures dans les services de santé.

Les chercheurs pensent que deux autres attaques, contre une entité gouvernementale en Asie de l’Est et une organisation aéronautique dans le sous-continent indien, sont également l’œuvre de ChamelGang, basées sur l’utilisation de TTP connus, d’outils accessibles au public vus lors d’engagements précédents et de leur logiciel malveillant personnalisé BeaconLoader.

Meilleur cryptage et verrouillage bitmap
Un groupe distinct d’activités repérées par SentinelLabs et enregistrées à l’avenir crypte les fichiers à l’aide de Jetico BestCrypt et Microsoft BitLocker au lieu du ransomware CatB.

Les chercheurs affirment que ces intrusions ont eu un impact sur 37 organisations, la plupart en Amérique du Nord. D’autres victimes se trouvaient en Amérique du Sud et en Europe.

En comparant les preuves dans les rapports d’autres sociétés de cybersécurité, les chercheurs ont découvert des chevauchements avec des intrusions passées liées à des APT chinois et nord-coréens présumés.

Intrusions optimisées par BestCrypt et BitLocker détectées au fil du temps

En règle générale, BestCrypt était utilisé pour cibler les points de terminaison du serveur de manière automatisée et chiffrée en série, tandis que BitLocker était déployé sur des postes de travail, avec des mots de passe de récupération uniques utilisés dans chaque cas.

Les attaquants ont également utilisé le webshell China Chopper, une variante personnalisée de l’outil miPing, et ont exploité les contrôleurs de domaine Active Directory (DCs) comme points d’ancrage.

Les analystes rapportent que ces attaques ont duré neuf jours en moyenne, tandis que certaines ont eu une courte durée de seulement quelques heures, indiquant une familiarité avec l’environnement ciblé.

L’une des raisons d’impliquer un ransomware dans des attaques de cyberespionnage pourrait être qu’il offre des avantages stratégiques et opérationnels qui brouillent les frontières entre APT et activité cybercriminelle, ce qui peut conduire à une attribution incorrecte ou comme moyen de dissimuler la nature de la collecte de données de l’opération.

Attribuer des incidents de ransomware passés à un acteur de menace de cyberespionnage comme ChamelGang est nouveau et montre que les adversaires changent de tactique pour couvrir leurs traces tout en atteignant leurs objectifs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *