Des chercheurs en sécurité analysant l’activité de l’opération de ransomware 3AM récemment apparue ont découvert des liens étroits avec des groupes tristement célèbres, tels que le syndicat Conti et le gang Royal ransomware.
3AM, également orthographié ThreeAM, a également essayé une nouvelle tactique d’extorsion: partager des informations sur une fuite de données avec les abonnés des médias sociaux de la victime et utiliser des robots pour répondre à des comptes de haut rang sur X (anciennement Twitter) avec des messages pointant vers des fuites de données.
3H du matin lié au syndicat de la cybercriminalité Conti
L’activité du gang de ransomwares 3AM a été documentée publiquement pour la première fois à la mi-septembre lorsque l’équipe de chasseurs de menaces de Symantec, qui fait maintenant partie de Broadcom, a révélé qu’elle avait remarqué que les acteurs de la menace passaient au ransomware ThreeAM après avoir échoué à déployer le malware LockBit.
Selon des chercheurs de la société française de cybersécurité Intrinsec, ThreeAM est probablement lié au groupe Royal ransomware – désormais rebaptisé Blacksuit, un gang d’anciens membres de l’équipe 2 au sein du syndicat Conti.
Le lien entre le ransomware 3AM et le syndicat Conti est devenu plus fort à mesure qu’Intrinsec progressait dans son enquête sur les tactiques du groupe, l’infrastructure utilisée dans les attaques et les canaux de communication.
Dans un rapport partagé avec Breachtrace, Intrinsec affirme que son analyse de l’acteur de la menace a révélé “un chevauchement important” dans les canaux de communication, l’infrastructure et les tactiques, techniques et procédures (TTP) entre 3AM et le syndicat Conti.
En utilisant une adresse IP répertoriée par Symantec comme indicateur de compromission du réseau (185.202.0[.]111) dans leur rapport sur l’attaque de l’acteur menaçant, les chercheurs d’Intrinsec ont trouvé sur VirusTotal un script PowerShell pour larguer Cobalt Strike détecté depuis 2020.
Dans une autre découverte, Intrinsec a observé un proxy SOCKS4 sur le port TCP 8000 qui est généralement utilisé pour la communication par tunnel. Les chercheurs notent que « la signature associée à ce service Socks4 était affichée sur deux adresses IP présentant une telle marque de proxy depuis la mi-2022. »
« Cette chronologie de l’activité est conforme à celle connue pour le ransomware Zeon, qui a été observée en septembre 2022 selon Trend Micro, mais qui aurait pu augmenter pour la première fois encore plus tôt fin janvier 2022 » – Intrinsec
De plus, les analystes d’Intrinsec ont identifié un certificat TLS pour un service RDP sur une machine appelée « DESKTOP-TCRDU4C » qui est associé à des attaques à partir de la mi-2022, certaines d’entre elles exploitant le compte-gouttes de logiciels malveillants IcedID dans les campagnes de Royal ransomware.
Auparavant, IcedID était utilisé pour diffuser des ransomwares à partir de XingLocker, rebaptisé Quantum, et des groupes Conti.
Les chercheurs ont également découvert que le contenu HTML du site de fuite de données de 3AM dans le réseau Tor avait été indexé par la plate-forme Shodan pour les serveurs connectés à Internet, ce qui signifie qu’il était disponible sur le Web en clair.
Shodan a montré une adresse IP associée à un” produit nginx qui pourrait être utilisé pour proxy le trafic réseau en amont vers un véritable serveur », a déclaré le chercheur.
En suivant la piste, Intrinsiec a remarqué que la même bannière Apache httpd sur le serveur était présente sur 27 autres serveurs, tous hébergés par une organisation appelée » UAB Cherry Servers.”
Cherry Servers est une société d’hébergement lituanienne qui présente un risque de fraude relativement faible, mais les services de renseignement sur les menaces ont vu les clients de l’entreprise héberger des logiciels malveillants, tels que Cobalt Strike.
Une analyse plus approfondie a révélé que six des 27 serveurs partageaient le même port, protocole, produit Apache avec la même version, système autonome (AS16125), organisation et le texte “llc” indiquant une « société à responsabilité limitée ».
En dehors de cela, les domaines aux adresses IP analysées avaient des certificats TLS de Google Trust Services LLC et ont été transférés vers Cloudflare.
Intrinsiec a trouvé le même sous-réseau IP dans un rapport de la société de cybersécurité et de services gérés Bridewell en avril dernier, qui note que l’opération de ransomware ALPHV/BlackCat hébergeait son infrastructure backend exclusivement sur les serveurs UAB Cherry ISP, utilisait des adresses IP dans le même sous-réseau, et certains d’entre eux ont été associés au malware IcedID qui avait été utilisé pour les attaques Conti.
La conclusion technique d’Intrinsiec s’aligne sur les renseignements sur les menaces de RedSense selon lesquels ALPHV est un groupe allié qui ne fait pas partie du syndicat Conti, mais qui pourrait aider le gang de diverses manières à mener des attaques.
Tester des robots Twitter pour faire pression sur la victime
En cherchant plus d’informations publiques sur ThreeAM, l’équipe de renseignement sur les cybermenaces d’Intrinsec a découvert que le gang avait probablement testé une nouvelle technique d’extorsion en utilisant des réponses automatisées sur X (anciennement Twitter) pour diffuser des informations sur leurs attaques réussies.
L’acteur de la menace a créé un compte X/Twitter l’année dernière le 10 août et l’a utilisé pour laisser “de nombreuses réponses” mentionnant l’une de ses victimes et redirigeant vers le site de fuite de données.
Le ransomware 3AM a répondu avec un lien vers le site de fuite de données de 3AM sur le réseau Tor aux tweets de la victime ainsi qu’à divers comptes, certains avec des centaines de milliers d’abonnés, comme dans l’exemple ci-dessous.
Cette tactique a probablement été utilisée pour répandre la nouvelle de l’attaque et de la fuite de données subséquente et pour nuire à la réputation commerciale de la victime – une entreprise américaine fournissant des services d’emballage automatisés.
Les chercheurs d’Intrinsec ont déterminé que ThreeAM utilisait le même message de manière automatisée pour répondre à plusieurs tweets de certains abonnés de la victime.
“Nous évaluons avec une bonne confiance qu’un bot X/Twitter a probablement été utilisé pour mener une telle campagne de diffamation”, écrit Intrinsec dans le rapport privé partagé avec Breachtrace.
Cette théorie s’appuie sur l’augmentation du volume et de la fréquence des réponses à trois équipes, parfois jusqu’à 86 par jour, bien au-dessus de la moyenne d’un utilisateur réel, et environ quatre par minute.
Il convient de noter que cette tactique semble n’avoir été utilisée qu’avec une seule victime à 3 heures du matin, probablement parce qu’elle n’a pas donné les résultats escomptés par l’acteur menaçant.
Un coup d’œil sur le site de fuite de données de 3AM sur le réseau Tor montre une liste de 19 victimes qui n’ont pas payé la rançon et dont les données ont été divulguées par l’auteur de la menace. Étonnamment, le site de 3AM ressemble beaucoup à celui utilisé par l’opération de ransomware LockBit.
Intrinsec note que “bien que les ensembles d’intrusion à trois équipes semblent être un sous-groupe moins sophistiqué de Royal » et que le gang affiche moins de sécurité opérationnelle, il ne faut pas le sous-estimer et il pourrait encore déployer un grand nombre d’attaques.
Le syndicat Conti
Le syndicat de la cybercriminalité Conti était l’opération de ransomware la plus importante et la plus agressive entre 2020 et sa fermeture en mai 2022 à la suite d’une violation de données connue sous le nom de Fuites Conti.
Au cours de l’une de ses virées de piratage les plus productives, les affiliés de l’opération ont compromis plus de 40 organisations en un peu moins d’un mois, les attaques les plus rapides ne prenant que trois jours à compter de l’accès initial aux systèmes de cryptage.
Le syndicat s’est scindé en plusieurs cellules et la marque ransomware s’est dissoute, mais bon nombre de ses membres et affiliés se sont associés à d’autres opérations, contribuant avec des personnes expérimentées à toutes les étapes d’une attaque, de l’analyse de la cible et de l’accès initial aux négociations, à l’infrastructure, aux développeurs et aux opérateurs.
Une continuation est Royal ransomware, “l’héritier direct de Conti », selon la chercheuse en renseignements sur les cybermenaces de RedSense, Yelisey Bohuslavskiy, une opération fermée dont les membres se connaissent personnellement.
En raison d’un message sur un forum de hackers, certains chercheurs spéculent que l’un des dirigeants du groupe royal est un acteur menaçant se faisant appeler Méchant. Cependant, aucune autre preuve n’a été divulguée publiquement à ce sujet et les ransomwares de nos jours sont une scène en constante évolution, et Baddie aurait pu simplement travailler avec plusieurs opérations de ransomware en tant que service (RaaS), dit Bohuslavskiy.
Sur une scène aussi chaotique que les affiliés travaillant avec plusieurs groupes RaaS, il est difficile de suivre les membres d’un gang particulier ou de les lier à une opération.