
Le kit d’exploitation RIG connaît sa période la plus réussie, tentant environ 2 000 intrusions par jour et réussissant dans environ 30 % des cas, le taux le plus élevé de la longue histoire opérationnelle du service.
En exploitant des vulnérabilités relativement anciennes d’Internet Explorer, RIG EK a été vu en train de distribuer diverses familles de logiciels malveillants, notamment Dridex, SmokeLoader et RaccoonStealer.
Selon un rapport détaillé de Prodaft, dont les chercheurs ont eu accès au panneau Web principal du service, le kit d’exploitation reste une menace importante à grande échelle pour les individus et les organisations.
L’histoire sordide de RIG EK
RIG EK a été publié pour la première fois il y a huit ans, en 2014, et présenté comme un « exploit en tant que service » loué à d’autres opérateurs de logiciels malveillants pour diffuser leurs logiciels malveillants sur des appareils vulnérables.
Le kit d’exploitation RIG est un ensemble de scripts JavaScript malveillants intégrés dans des sites Web compromis ou malveillants par les acteurs de la menace, qui sont ensuite promus par le biais de publicités malveillantes.
Lorsqu’un utilisateur visite ces sites, les scripts malveillants sont exécutés et tentent d’exploiter diverses vulnérabilités du navigateur pour installer automatiquement des logiciels malveillants sur l’appareil.
En 2015, les auteurs du kit ont publié la deuxième version majeure du kit, jetant les bases d’opérations plus étendues et réussies.
En 2017 cependant, RIG a subi un coup dur à la suite d’une action de démantèlement coordonnée qui a anéanti une grande partie de son infrastructure, perturbant gravement ses opérations.
En 2019, RIG est revenu, cette fois en se concentrant sur la distribution de rançongiciels, aidant les rançongiciels Sodinokibi (REvil), Nemty et ERIS à compromettre les organisations avec des charges utiles de cryptage des données.
En 2021, le propriétaire de RIG a annoncé que le service fermerait; cependant, RIG 2.0 est revenu en 2022 avec deux nouveaux exploits (CVE-2020-0674 et CVE-2021-26411 dans Internet Explorer), atteignant un taux de violation réussi sans précédent.
En avril 2022, Bitdefender a signalé que RIG était utilisé pour déposer le malware voleur d’informations Redline sur les victimes.
Alors que de nombreux exploits ciblés par RIG EK concernent Internet Explorer, que Microsoft Edge a depuis longtemps remplacé, le navigateur est toujours utilisé par des millions d’appareils d’entreprise, qui constituent une cible principale.
Volumes d’attaque actuels
Prodaft indique que RIG EK cible actuellement 207 pays, lançant en moyenne 2 000 attaques par jour et ayant un taux de réussite actuel de 30 %. Ce taux était de 22% avant que le kit d’exploit ne refait surface avec deux nouveaux exploits, précise Prodaft.

Comme le montre la carte thermique publiée dans le rapport, les pays les plus touchés sont l’Allemagne, l’Italie, la France, la Russie, la Turquie, l’Arabie saoudite, l’Égypte, l’Algérie, le Mexique et le Brésil. Cependant, il y a des victimes dans le monde entier.

Le taux de réussite le plus élevé est apporté par CVE-2021-26411, atteignant un taux d’exploitation réussie de 45 %, suivi par CVE-2016-0189 avec 29 % et CVE-2019-0752 avec 10 %.

CVE-2021-26411 est une faille de corruption de mémoire très grave dans Internet Explorer que Microsoft a corrigée en mars 2021, déclenchée par la consultation d’un site Web conçu de manière malveillante.
Les vulnérabilités CVE-2016-0189 et CVE-2019-0752 se trouvent également dans Internet Explorer, permettant l’exécution de code à distance dans le navigateur.
CISA a publié une alerte d’exploitation active pour CVE-2019-0752 en février 2022, avertissant les administrateurs système que la vulnérabilité est toujours exploitée et d’appliquer les mises à jour de sécurité disponibles.
Une variété de charges utiles malveillantes
Actuellement, RIG EK pousse principalement les logiciels malveillants de vol d’informations et d’accès initial, Dridex étant le plus courant (34 %), suivi de SmokeLoader (26 %), RaccoonStealer (20 %), Zloader (2,5 %), Truebot (1,8 %) , et IcedID (1,4 %).

Bien sûr, les types de logiciels malveillants diffusés par RIG EK changent constamment en fonction des cybercriminels qui choisissent d’utiliser le service.
Prodaft a également observé précédemment la distribution de Redline, RecordBreaker, PureCrypter, Gozi, Royal Ransomware et UrSnif.
La distribution du cheval de Troie bancaire Dridex est particulièrement intéressante car certains signes indiquent que les opérateurs du RIG ont pris des mesures pour assurer sa distribution sans problème.
« L’administrateur du RIG avait pris des mesures de configuration manuelle supplémentaires pour s’assurer que le logiciel malveillant était distribué en douceur », explique Prodaft dans le rapport.
« Compte tenu de tous ces faits, nous évaluons avec une grande confiance que le développeur du logiciel malveillant Dridex entretient une relation étroite avec les administrateurs du RIG. »
Il convient de noter que Dridex était lié aux attaques de rançongiciels Entropy il y a un an, de sorte que les violations de RIG EK pourraient entraîner des incidents de cryptage des données.
Le RIG EK reste une menace importante pour les individus et les organisations utilisant des logiciels obsolètes, menaçant d’infecter leurs systèmes avec des voleurs d’informations furtifs qui peuvent siphonner des données hautement sensibles.
Cependant, l’accent mis par RIG EK sur Internet Explorer pourrait rendre le service rapidement obsolète, car Microsoft a finalement retiré Internet Explorer en février 2023, redirigeant les utilisateurs vers Microsoft Edge.