Un acteur de la menace connu sous le nom de « EncryptHub », alias Larva-208, a ciblé des organisations du monde entier avec des attaques de spear-phishing et d’ingénierie sociale pour accéder aux réseaux d’entreprise.
Selon un rapport de Prodaft, publié en interne la semaine dernière et rendu public hier, depuis juin 2024, lorsque EncryptHub a lancé ses opérations, il a compromis au moins 618 organisations.
Une fois l’accès obtenu, les auteurs de la menace installent un logiciel de surveillance et de gestion à distance (RMM), suivi du déploiement de voleurs d’informations tels que Stealc et Rhadamanthys. Dans de nombreux cas observés, EncryptHub déploie également des ransomwares sur des systèmes compromis.
Prodaft a déclaré à Breachtrace que le groupe de menaces était affilié à RansomHub et BlackSuit, ayant déployé les deux chiffreurs de ransomware dans le passé et agissant éventuellement en tant que courtier d’accès initial pour eux ou en tant qu’affilié direct.
Cependant, dans de nombreuses attaques observées par les chercheurs, les auteurs de la menace ont déployé un chiffreur de données PowerShell personnalisé, de sorte qu’ils conservent également leur propre variante.
Obtenir un accès initial
Les attaques de Larva-208 impliquent le phishing par SMS, le phishing vocal et de fausses pages de connexion qui imitent les produits VPN d’entreprise comme Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet et Microsoft 365.
Les attaquants se font généralement passer pour un support informatique dans leurs messages aux cibles, affirmant un problème d’accès VPN ou un problème de sécurité avec leur compte, les incitant à se connecter sur un site de phishing.
Les victimes reçoivent des liens qui les redirigent vers des pages de connexion de phishing où leurs informations d’identification et leurs jetons d’authentification multifacteur (MFA) (cookies de session) sont capturés en temps réel.
Une fois le processus de phishing terminé, la victime est redirigée vers le domaine réel du service pour éviter d’éveiller les soupçons.
EncryptHub a acheté plus de domaines 70 qui imitent lesdits produits, tels que ‘linkwebcisco.com » et « weblinkteams.com,’ pour augmenter la légitimité perçue des pages de phishing.
Les sites de phishing sont hébergés sur des fournisseurs d’hébergement à toute épreuve comme Yalishanda, qui, selon ProDaft, ne répondent généralement pas aux demandes de retrait justifiées.
Prodaft a également découvert qu’il existe un autre sous-groupe suivi sous le nom de Larva-148, qui aide à acheter les domaines utilisés dans les campagnes de phishing, à gérer l’hébergement et à configurer l’infrastructure.
Il est possible que Larva-148 vende des domaines et des kits de phishing à EncryptHub, bien que leur relation exacte n’ait pas encore été déchiffrée.
Déploiement de logiciels malveillants
Une fois que EncryptHub viole un système ciblé, il déploie divers scripts PowerShell et logiciels malveillants pour obtenir la persistance, l’accès à distance, voler des données et chiffrer des fichiers.
Premièrement, ils incitent les victimes à installer des logiciels RMM comme AnyDesk, TeamViewer, ScreenConnect, Atera et Splashtop. Cela leur permet de contrôler le système compromis à distance, de maintenir un accès à long terme et de rendre possible les mouvements latéraux.
Ensuite, ils utilisent différents scripts PowerShell pour déployer des infostealers, tels que Stealc, Rhadamanthys et Fickle Stealer, afin de voler des données stockées dans les navigateurs Web. Ces données incluent les informations d’identification enregistrées, les cookies de session et les phrases secrètes du portefeuille de crypto-monnaie.
Breachtrace a également vu des scripts Python qui exécutent un comportement similaire pour les périphériques Linux et Mac.
Dans des exemples de scripts vus par Breachtrace , l’auteur de la menace tente de voler une grande quantité de données sur les systèmes piratés, notamment:
- Données provenant de divers portefeuilles de crypto-monnaie, notamment Metal Mask, Ethereum Wallet, Coinbase Wallet, Trust Wallet, Opera Wallet, Brave Wallet, TronLink, Trezor Wallet et bien d’autres.
- Données de configuration pour divers clients VPN, notamment Cisco VPN Client, FortiClient, Palo Alto Networks GlobalProtect, OpenVPN et WireGuard.
- Données provenant de gestionnaires de mots de passe populaires, notamment Authenticator, Password, Snortpass, DashLane, Bit warden, RoboForm, Keeper, MultiPassword, KeePassXC et LastPass.
- Fichiers qui correspondent à des extensions particulières ou dont les noms contiennent certains mots clés, notamment des images, des fichiers de connexion RDP, des documents Word, des feuilles de calcul Excel, des fichiers CSV et des certificats. Certains des mots clés dans les noms de fichiers ciblés incluent « pass », « compte », « authentification », « 2fa », » portefeuille », » phrase de départ », » récupération », » keepass », » secret » et bien d’autres.
La menace finale de Larva-208 est un ransomware sous la forme d’un crypteur personnalisé basé sur PowerShell qui crypte les fichiers à l’aide d’AES et ajoute le « .extension « cryptée », supprimant les fichiers d’origine.
Une demande de rançon est générée pour les victimes, exigeant un paiement de rançon en USDT via Telegram.
Selon Prodaft, EncryptHub est un acteur de menace sophistiqué qui adapte ses attaques pour une meilleure efficacité, réalisant des violations de grande valeur sur les grandes organisations.
« L’acteur de harponnage LARVA-208 examiné dans ce rapport illustre la sophistication croissante des cyberattaques ciblées », prévient Prodaft.
« En employant des tactiques d’ingénierie sociale hautement personnalisées, des méthodes d’obscurcissement avancées et des leurres méticuleusement conçus, cet acteur de la menace a démontré une capacité significative à échapper à la détection et à compromettre des cibles de grande valeur. »