Sophos : Les groupes de ransomwares Hive, LockBit et BlackCat attaquent successivement un même réseau
août 2022 par Sophos
Sophos annonce dans le livre blanc Active Adversary de Sophos X-Ops, intitulé Multiple Attackers : A Clear and Present Danger, que Hive, LockBit et BlackCat, trois groupes de ransomwares de premier plan, ont attaqué successivement le même réseau. Les deux premières attaques ont eu lieu à deux heures d’intervalle, et la troisième deux semaines plus tard. Chaque groupe a déposé sa propre demande de rançon et certains des fichiers ont fait l’objet d’un triple chiffrement.
« Une demande de rançon est déjà assez pénible, alors imaginez trois à la suite », commente John Shier, conseiller senior en sécurité chez Sophos. « Des attaques multiples compliquent considérablement la récupération des données, a fortiori lorsque les fichiers du réseau ont été cryptés à trois reprises. Une cybersécurité englobant la prévention, la détection et la réponse aux incidents est donc indispensable pour les entreprises de toute taille et de tout type car aucune n’est à l’abri. »
Le livre blanc expose également d’autres cas de cyberattaques concomitantes, impliquant notamment des cryptomineurs, des chevaux de Troie à accès distant (RAT - Remote Access Trojan) et des bots. Jusque-là, lorsque plusieurs groupes malveillants visaient un même système, leurs attaques s’échelonnaient généralement sur des mois voire des années. Or les attaques aujourd’hui décrites par Sophos se sont déroulées en l’espace de quelques jours ou semaines – et même, dans un cas, simultanément. Leurs différents auteurs se sont alors introduits dans le réseau de la cible par le même point d’entrée vulnérable.
D’habitude, les groupes cybercriminels sont en concurrence pour les ressources, ce qui rend plus difficiles des attaques simultanées. C’est ainsi que les cryptomineurs ont coutume de neutraliser leurs concurrents sur le même système, tandis que les RAT mettent fréquemment en avant leur capacité de tueurs de bots sur les forums spécialisés. Cependant, dans les attaques émanant de trois groupes de ransomwares, BlackCat, par exemple, dernier arrivé sur le système, ne s’est pas contenté d’effacer les traces de sa propre activité mais aussi celles de LockBit et Hive. Dans un autre cas, un système a été infecté par LockBit. Puis, environ trois mois plus tard, des membres de Karakurt Team, un groupe qui aurait des liens avec Conti, a exploité le backdoor créé par LockBit pour voler des données et rançonner leur propriétaire.
« Dans l’ensemble, les groupes de ransomwares ne paraissent pas ouvertement antagonistes les uns envers les autres. De fait, LockBit n’interdit pas explicitement à ses affiliés de collaborer avec des concurrents, comme l’indique le livre blanc de Sophos », souligne John Shier. « Nous n’avons pas de preuves d’une telle collaboration mais il est possible que les cyberattaquants aient pris conscience de l’existence d’un nombre fini de “ressources” sur un marché où règne une concurrence de plus en plus vive. Ou bien, peut-être pensent-ils que plus forte est la pression exercée sur une cible (à travers des attaques multiples), plus les victimes seront enclines à payer la rançon. Peut-être ont-ils des discussions au plus haut niveau, par exemple pour se mettre d’accord sur le partage des tâches et des bénéfices, l’un des groupes se chargeant du chiffrement des données et un autre de leur exfiltration. Tôt ou tard, ces groupes devront décider, soit de prolonger cette coopération, soit de redevenir concurrents, mais pour l’instant le champ est libre pour des attaques multiples menées par différents auteurs. »
La plupart des infections initiales concernant les attaques décrites dans le livre blanc sont la conséquence d’une vulnérabilité non corrigée, notamment Log4Shell, ProxyLogon et ProxyShell, ou d’une mauvaise configuration de serveurs RDP non sécurisés. Dans la majorité des attaques provenant d’auteurs multiples, les victimes n’ont pas répondu efficacement au premier incident, ouvrant la voie à d’autres activités cybercriminelles. En l’occurrence, les mêmes erreurs de configuration RDP, ou encore des applications telles que RDWeb ou AnyDesk, ont fourni une porte d’entrée facilement exploitable pour les attaques ultérieures. Le fait est que les outils malveillants visant des serveurs RDP et VPN exposés sont parmi les plus vendus sur le Dark Web.
« Comme l’indique la dernière édition de l’Active Adversary Playbook, Sophos a commencé en 2021 à voir des entreprises victimes de plusieurs attaques simultanées, suggérant qu’il s’agissait peut-être d’une tendance croissante », conclut John Shier. « Tandis que l’augmentation des attaques par des auteurs multiples repose toujours sur des indices anecdotiques, l’existence de systèmes vulnérables offre aux cybercriminels d’amples possibilités de poursuivre dans cette voie. »