Le gang de ransomwares NoName tente de se forger une réputation depuis plus de trois ans en ciblant les petites et moyennes entreprises du monde entier avec ses chiffrements et travaille peut-être maintenant en tant qu’affilié RansomHub.
Le gang utilise des outils personnalisés connus sous le nom de famille de logiciels malveillants Spacecolon, et les déploie après avoir accédé à un réseau par des méthodes de force brute ainsi qu’en exploitant des vulnérabilités plus anciennes comme EternalBlue (CVE-2017-0144) ou ZeroLogon (CVE-2020-1472).
Dans des attaques plus récentes, NoName utilise le ransomware ScRansom, qui a remplacé le chiffreur Scarab. De plus, l’auteur de la menace a tenté de se faire un nom en expérimentant le générateur de ransomware LockBit 3.0 divulgué, en créant un site de fuite de données similaire et en utilisant des notes de rançon similaires.
Rançongiciel ScRansom
La société de cybersécurité ESET suit le gang NoName sous le nom de CosmicBeetle et suit ses activités depuis 2023, avec l’émergence du ScRansom, un malware de cryptage de fichiers basé sur Delphi.
Dans un rapport publié aujourd’hui, les chercheurs notent que bien que ScRansom (qui fait partie de la famille des logiciels malveillants Spacecolon) ne soit pas aussi sophistiqué que les autres menaces sur la scène des ransomwares, c’est une menace qui continue d’évoluer.
Le logiciel malveillant prend en charge le cryptage partiel avec différents modes de vitesse pour permettre aux attaquants une certaine polyvalence, et dispose également d’un mode « EFFACEMENT » qui remplace le contenu des fichiers par une valeur constante, les rendant irrécupérables.
ScRansom peut crypter des fichiers sur tous les lecteurs, y compris les supports fixes, distants et amovibles, et permet à l’opérateur de déterminer les extensions de fichiers à cibler via une liste personnalisable.
Avant de lancer le chiffreur, ScRansom supprime une liste de processus et de services sur l’hôte Windows, y compris Windows Defender, le Cliché instantané du volume, SVCHost, RDPclip, LSASS et les processus associés à VMware Tools.
ESET note que le schéma de cryptage de ScRansom est plutôt compliqué, utilisant une combinaison d’AES-CTR-128 et RSA-1024, et une clé AES supplémentaire générée pour protéger la clé publique.
Cependant, le processus en plusieurs étapes qui implique plusieurs échanges de clés introduit parfois des erreurs qui peuvent entraîner l’échec du déchiffrement des fichiers même en utilisant les clés correctes.
De plus, si le ransomware est exécuté une deuxième fois sur le même appareil ou dans un réseau de plusieurs systèmes distincts, de nouveaux ensembles de clés uniques et d’identifiants de victime seront générés, ce qui rendra le processus de déchiffrement assez complexe.
Un cas mis en évidence par ESET est celui d’une victime qui a reçu 31 identifiants de déchiffrement et clés de protection AES après avoir payé ScRansom, et ils n’étaient toujours pas en mesure de récupérer tous les fichiers cryptés.
« Cette approche de décryptage est typique d’un acteur de menace de ransomware immature. Les gangs chevronnés préfèrent que leur processus de décryptage soit aussi simple que possible pour augmenter les chances d’un décryptage correct, ce qui renforce leur réputation et augmente la probabilité que les victimes paient.” – ESET
NoName a utilisé la force brute pour accéder aux réseaux, mais l’auteur de la menace exploite également plusieurs vulnérabilités qui sont plus susceptibles d’être présentes dans les environnements SMB:
- CVE-2017-0144 (alias Bleu éternel),
- CVE-2023-27532 (une vulnérabilité dans un composant Veeam Backup & Replication)
- CVE-2021-42278 et CVE-2021-42287 (vulnérabilités d’escalade de privilèges AD) via noPac
- CVE-2022-42475 (une vulnérabilité dans FortiOS SSL-VPN)
- CVE-2020-1472 (alias Zéro connexion)
Un récent rapport de Pure7, une société de cybersécurité en Turquie, mentionne également que CVE-2017-0290 a également été exploité dans des attaques NoName via un fichier batch (DEF1.bat) qui apporte des modifications au registre Windows pour désactiver les fonctionnalités, services ou tâches de Windows Defender.
Aucun nom déployant des outils de Hub de rançon
L’ascension de NoName au statut d’affilié de RansomHub a été précédée d’une série de mouvements montrant le dévouement du gang au secteur des ransomwares. Sc Ransom n’étant pas un nom établi sur la scène, le gang a décidé d’adopter une approche différente pour accroître sa visibilité.
En septembre 2023, CosmicBeetle a mis en place un site d’extorsion sur le dark Web sous la marque « NONAME », qui était une copie modifiée du site de fuite de données LockBit (DLS) qui comprenait des victimes réellement compromises par LockBit, et non ScRansom, ont découvert les chercheurs après avoir vérifié sur plusieurs services de suivi DLS.
En novembre 2023, l’auteur de la menace a intensifié ses efforts d’usurpation d’identité en enregistrant le blog domain lock bit[.] info et image de marque du DLS avec le thème et le logo LockBit.
Les chercheurs ont également découvert quelques attaques récentes où un échantillon de LockBit a été déployé, mais la demande de rançon avait un identifiant de victime qu’ils avaient déjà lié à CosmicBeetle. De plus, l’ensemble d’outils de l’incident chevauchait le logiciel malveillant attribué à l’acteur de la menace CosmicBeetle/NoName.
« L’utilisation de constructeurs divulgués est une pratique courante pour les gangs de ransomwares immatures. Cela leur permet d’abuser de la marque de leurs concurrents bien établis tout en leur fournissant un échantillon de ransomware qui fonctionne généralement correctement » – ESET
En enquêtant sur un incident de ransomware qui a débuté début juin avec un déploiement échoué de ScRansom, les chercheurs d’ESET ont découvert que l’auteur de la menace s’exécutait sur la même machine moins d’une semaine plus tard EDR killer de RansomHub, un outil qui permet l’escalade des privilèges et la désactivation des agents de sécurité en déployant un pilote légitime et vulnérable sur les appareils ciblés.
Deux jours plus tard, le 10 juin, les pirates ont exécuté le ransomware RansomHub sur la machine compromise.
Les chercheurs notent la méthode d’extraction du tueur EDR, qui était typique de CosmicBeetle et non d’une filiale de RansomHub.
Comme il n’y a pas de fuites publiques du code RansomHub ou de son constructeur, les chercheurs d’ESET « pensent avec une confiance moyenne que CosmicBeetle s’est inscrit en tant que nouvel affilié RansomHub. »
Bien que l’affiliation avec RanssomHub ne soit pas certaine, ESET affirme que le chiffreur ScRansom est en cours de développement actif. Combiné au passage de ScRansom à LockBit, cela indique que CosmicBeetle ne montre aucun signe d’abandon.