The development also comes as the ransomware landscape is evolving with existing and new ransomware groups, namely LockBit, Hive, Lilith, RedAlert (aka N13V), and 0mega, even as the Conti gang formally shuttered its operations in response to a massive leak of its internal chats. Adding fuel to the fire, LockBit’s improved successor also comes with a brand new data leak site that allows any actor to purchase data stolen from victims, not to mention incorporating a search feature that makes it easier to surface sensitive information. Other ransomware families have also added similar capabilities in an attempt to create searchable databases of information stolen during attacks. Notable among this list are PYSA, BlackCat (aka ALPHV), and the Conti offshoot known as Karakurt, according to a report from Bleeping Computer. Based on statistics gathered by Digital Shadows, 705 organizations were named in ransomware data leak websites in the second quarter of 2022, marking a 21.1% increase from Q1 2022. The top ransomware families during the period included LockBit, Conti, BlackCat, Black Basta, and Vice Society.
Les chercheurs en cybersécurité ont dévoilé un logiciel espion jusque-là non documenté ciblant le système d’exploitation Apple macOS. Le malware, nommé CloudMensis par la société slovaque de cybersécurité ESET, utiliserait exclusivement des services de stockage en nuage public tels que pCloud, Yandex Disk et Dropbox pour recevoir des commandes d’attaquants et exfiltrer des fichiers. « Ses capacités montrent clairement que l’intention de ses opérateurs est de recueillir des informations sur les Mac des victimes en exfiltrant des documents, des frappes au clavier et des captures d’écran », a déclaré le chercheur d’ESET Marc-Etienne M.Léveillé dans un rapport publié aujourd’hui. CloudMensis, écrit en Objective-C, a été découvert pour la première fois en avril 2022 et est conçu pour frapper à la fois les architectures de silicium Intel et Apple. Le vecteur d’infection initial des attaques et les cibles restent encore inconnus. Mais sa diffusion très limitée est une indication que le logiciel malveillant est utilisé dans le cadre d’une opération très ciblée dirigée contre des entités d’intérêt. La chaîne d’attaque repérée par ESET abuse de l’exécution de code et des privilèges administratifs pour lancer une charge utile de première étape qui est utilisée pour récupérer et exécuter un malware de deuxième étape hébergé sur pCloud, qui, à son tour, exfiltre des documents, des captures d’écran et des pièces jointes d’e-mails, entre autres.
Le téléchargeur de première étape est également connu pour effacer les traces des exploits d’évasion et d’escalade des privilèges du bac à sable Safari qui utilisent quatre failles de sécurité maintenant résolues en 2017, ce qui suggère que CloudMensis a peut-être volé sous le radar pendant de nombreuses années. L’implant est également livré avec des fonctionnalités permettant de contourner le cadre de sécurité Transparence, consentement et contrôle (TCC), qui vise à garantir que toutes les applications obtiennent le consentement de l’utilisateur avant d’accéder aux fichiers dans Documents, Téléchargements, Bureau, iCloud Drive et volumes réseau. Il y parvient en exploitant une autre vulnérabilité de sécurité corrigée suivie sous le nom de CVE-2020-9934 qui a été révélée en 2020. Les autres fonctions prises en charge par la porte dérobée incluent l’obtention de la liste des processus en cours d’exécution, la capture de captures d’écran, la liste des fichiers à partir de périphériques de stockage amovibles et l’exécution du shell. commandes et autres charges utiles arbitraires. En plus de cela, une analyse des métadonnées de l’infrastructure de stockage en nuage montre que les comptes pCloud ont été créés le 19 janvier 2022, les compromis commençant le 4 février et culminant en mars. « La qualité générale du code et le manque d’obscurcissement montrent que les auteurs ne sont peut-être pas très familiers avec le développement Mac et ne sont pas si avancés », a déclaré M.Léveillé. « Néanmoins, beaucoup de ressources ont été investies pour faire de CloudMensis un puissant outil d’espionnage et une menace pour les cibles potentielles. »