Le groupe de piratage parrainé par l’État nord-coréen connu sous le nom de « Andariel » a été lié à l’opération de ransomware Play, utilisant le RaaS pour travailler en coulisses et échapper aux sanctions.

Un rapport de Palo Alto Networks et de ses chercheurs de l’Unité 42 affirme qu’Andariel pourrait être soit une filiale de Play, soit agir en tant que courtier d’accès initial (IAB), facilitant le déploiement du logiciel malveillant sur un réseau qu’ils avaient violé plusieurs mois plus tôt.

Andariel est un groupe APT parrainé par l’État qui serait associé au Bureau général de reconnaissance de la Corée du Nord, une agence de renseignement militaire. En 2019, les États-Unis ont sanctionné les acteurs de la menace nord-coréens Lazarus, Bluenoroff et Andariel pour leurs attaques contre les intérêts américains.

Les acteurs de la menace sont connus pour mener des attaques de cyberespionnage et pour financer les opérations de la Corée du Nord et ont déjà été liés à des opérations de ransomware.

En 2022, Kaspersky a montré des preuves du déploiement par Andariel du ransomware Maui dans des attaques contre des cibles au Japon, en Russie, au Vietnam et en Inde.

Le gouvernement américain l’a confirmé plus tard en offrant 10 000 000 $pour toute information sur Rim Jong Hyok, qu’il a identifié comme membre d’Andariel et responsable des attaques de ransomware Maui ciblant les infrastructures critiques et les organisations de santé à travers les États-Unis.

La connexion Andariel et Play
Lors d’une réponse à un incident de ransomware Play en septembre 2024, l’Unité 42 a découvert qu’Andariel avait compromis le réseau piraté de son client fin mai 2024.

Les auteurs de la menace ont obtenu un accès initial via un compte d’utilisateur compromis, puis ont extrait les vidages du registre et déployé Mimikatz pour la collecte des informations d’identification.

Ensuite, ils ont déployé la suite de pentesting open source Sliver pour le balisage de commande et de contrôle (C2) et leur logiciel malveillant de vol d’informations personnalisé, DTrack, sur tous les hôtes accessibles via SMB.

Au cours des mois suivants, les auteurs de menaces ont renforcé leur présence sur le réseau, créant des services malveillants, établissant des sessions RDP (Remote Desktop Protocol) et désinstallant les outils EDR (endpoint detection and response).

Cependant, ce n’est que trois mois plus tard, le 5 septembre, que le cryptographe PLAY ransomware a été exécuté sur le réseau pour crypter les appareils.

Chronologie de l’attaque

L’unité 42 conclut avec une confiance modérée que la présence d’Andariel et le déploiement de Play sur le même réseau étaient connectés.

Ceci est basé sur les indices suivants:

  1. Le même compte a été utilisé pour l’accès initial, la diffusion des outils, les mouvements latéraux, l’élévation des privilèges et la désinstallation d’EDR, ce qui a conduit au déploiement du ransomware Play.
  2. La communication avec Sliver C2 s’est poursuivie juste avant le déploiement du ransomware, après quoi l’IP C2 s’est déconnecté.
  3. Des outils de ransomware Play, y compris Token Player et PsExec, ont été trouvés dans C:\Users\Public\Music, correspondant aux tactiques courantes observées lors d’attaques passées.

Cependant, les chercheurs ne savent pas si Andariel a agi en tant qu’affilié de Play dans ce cas ou a vendu aux attaquants l’accès au réseau compromis.

Échapper aux sanctions
Alors que les opérations de Ransomware en tant que service favorisent généralement une part des revenus, où les affiliés (ou « publicités ») gagnent 70 à 80% du paiement d’une rançon et les développeurs de ransomwares gagnent le reste, c’est généralement un peu plus compliqué que cela.

Dans de nombreux cas, les affiliés travaillent avec des « pentesters » qui sont chargés de violer un réseau d’entreprise, d’établir une présence, puis de céder l’accès à un affilié qui déploie le chiffreur.

Lors de conversations précédentes avec des acteurs de la menace ransomware, Breachtrace a appris que parfois les pentesters volent des données, tandis que dans d’autres attaques, c’est l’affilié.

Une fois le paiement de la rançon effectué, les opérateurs de ransomware, le pentester et l’affilié se partagent l’argent entre eux.

Qu’Andariel soit un affilié ou un courtier d’accès initial (pentester), travailler avec des gangs de ransomwares en coulisses permet aux acteurs de la menace nord-coréens d’échapper aux sanctions internationales.

Dans le passé, nous avons vu des tactiques similaires utilisées par le groupe de piratage informatique russe Evil Corp, qui a été sanctionné par le gouvernement américain en 2019.

Après avoir été sanctionnées, certaines sociétés de négociation de ransomwares ont refusé de faciliter le paiement des rançons pour les attaques de ransomware Evil Corp afin d’éviter de faire face à des amendes ou à des poursuites judiciaires de la part du Département du Trésor.

Cependant, cela a conduit les acteurs de la menace à se rebaptiser fréquemment sous des noms différents, tels que WastedLocker, Hadès, Phoenix CryptoLocker, PayLoadBin et Ara, pour échapper aux sanctions.

Plus récemment, des acteurs iraniens de la menace, qui sont également sanctionnés, ont également été découverts agissant en tant que courtiers d’accès initiaux pour alimenter les attaques de ransomwares.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *