Une porte dérobée personnalisée nouvellement identifiée déployée lors de plusieurs attaques récentes de ransomware a été liée à au moins un affilié d’opération RansomHub ransomware-as-a-service (RaaS).
Les chercheurs de Symantec qui ont nommé ce malware Betruger le décrivent comme un « rare exemple de porte dérobée multifonction » qui a probablement été conçue pour être utilisée dans des attaques de ransomware.
Les capacités du malware incluent un large éventail de fonctionnalités qui chevauchent les fonctionnalités couramment trouvées dans les outils malveillants abandonnés avant de déployer des charges utiles de ransomware, notamment l’enregistrement de frappe, l’analyse du réseau, l’escalade de privilèges, le vidage des informations d’identification, la capture d’écran et le téléchargement de fichiers vers un serveur de commande et de contrôle (C2).
« La fonctionnalité de Betruger indique qu’elle a peut-être été développée afin de minimiser le nombre de nouveaux outils déposés sur un réseau ciblé pendant la préparation d’une attaque de ransomware », a déclaré l’équipe de chasseurs de menaces de Symantec.
« L’utilisation de logiciels malveillants personnalisés autres que le cryptage des charges utiles est relativement inhabituelle dans les attaques par ransomware. La plupart des attaquants s’appuient sur des outils légitimes, vivant de la terre, et des logiciels malveillants accessibles au public tels que Mimikatz et Cobalt Strike », a déclaré l’équipe de chasseurs de menaces de Symantec.
Les attaquants derrière la porte dérobée Betruger la déposent à l’aide de l’expéditeur.exe et turbomailer.noms de fichiers exe ‘ pour le camoufler en tant qu’application légitime liée au publipostage.
Même si d’autres gangs de ransomwares ont également développé des outils malveillants personnalisés, ils ont principalement été conçus pour aider à exfiltrer les données sensibles des systèmes compromis des victimes. Ces outils incluent le voleur Exmatter de BlackMatter et l’outil de vol de données Exbyte de BlackByte pour télécharger des fichiers volés sur le Mega.co.nz service de stockage en nuage.
Le gang des rançongiciels RansomHub
L’opération RansomHub ransomware-as-a-service (RaaS) (anciennement connue sous le nom de Cyclope et Knight) est apparue il y a plus d’un an, en février 2024, et a été liée à l’extorsion basée sur le vol de données plutôt qu’au cryptage des données sur les systèmes piratés des victimes.
Depuis son apparition, le gang de rançongiciels a fait de nombreuses victimes de premier plan, notamment le géant des services pétroliers Halliburton, la maison de vente aux enchères Christie’s, le fournisseur de télécommunications américain Frontier Communications, la chaîne de pharmacies Rite Aid, la division européenne de Kawasaki, l’organisation à but non lucratif Planned Parenthood sexual health et le club de football de Bologne.
RansomHub a également divulgué les données volées de Change Healthcare après l’escroquerie de sortie de 22 millions de dollars de l’opération de ransomware BlackCat/ALPHV, à la suite de la plus importante violation des soins de santé de ces dernières années qui a touché plus de 190 millions de personnes.
Plus récemment, il a revendiqué la violation des Services de santé BayMark, le plus grand fournisseur américain de traitement de la toxicomanie en Amérique du Nord. BayMark Health Services fournit des services de traitement médicamenteux assisté (MAT) à plus de 75 000 patients par jour dans plus de 400 sites de services répartis dans 35 États américains et trois provinces canadiennes.
Le FBI affirme que les affiliés de RansomHub ont violé plus de 200 victimes de plusieurs secteurs d’infrastructures critiques aux États-Unis, y compris le gouvernement, les infrastructures critiques et les soins de santé, jusqu’en août 2024.