MuddyWater brouille les pistes en matière de réponse aux incidents avec une ruse visant à couvrir l’exfiltration de données et le cyber-sabotage, selon un nouveau rapport.
Un groupe d’espionnage parrainé par l’État iranien se fait passer pour un gang de ransomwares régulier dans une nouvelle vague d’attaques de ransomwares ciblant les entreprises.
Le groupe APT MuddyWater (alias Seedworm) se fait passer pour le groupe Chaos ransomware-as-a-service pour confondre la réponse aux incidents et masquer son espionnage et son cyber-sabotage, selon une étude menée par le fournisseur de sécurité Rapid7.
Les attaques – visant à voler des données plutôt qu’à les chiffrer – impliquent généralement l’ingénierie sociale via des plateformes de messagerie telles que Microsoft Teams. Plus précisément, les attaquants ont utilisé le partage d’écran interactif pour récolter des informations d’identification et manipuler l’authentification multifacteur (MFA).
Les attaquants ont acquis une persistance à long terme grâce à des outils de gestion à distance tels que DWAgent. Les attaques ont été suivies de messages d’extorsion et de publication de sites de fuite, mais se sont concentrées sur l’exfiltration de données plutôt que sur le chiffrement.
Les organisations ayant une valeur en matière de renseignement stratégique, en particulier aux États-Unis, dans les pays occidentaux, en Asie-Pacifique et au Moyen-Orient, sont ciblées par la campagne en cours.
Des artefacts techniques, notamment un certificat de signature de code spécifique et une infrastructure de commandement et de contrôle (C2), ont permis aux chercheurs de Rapid7 de relier un incident faisant l’objet d’une enquête à MuddyWater avec une « confiance modérée ». MuddyWater est un groupe de cyberespionnage affilié au ministère iranien du Renseignement et de la Sécurité (Vevak).
L’adoption de tactiques criminelles permet à ces acteurs alignés sur l’État d’introduire une ambiguïté et de retarder la réponse défensive, selon Rapid7, qui a publié aujourd’hui un article de blog technique détaillant l’attaque.
« Si les défenseurs voient une demande de rançon, une pression sur le site de fuite ou une marque de ransomware connue, la réponse initiale se concentre souvent sur la perturbation de l’activité, le vol de données et la négociation », a déclaré Christiaan Beek, vice-président de la cyberintelligence chez Rapid7. « Cela peut détourner l’attention de la question plus profonde de savoir quel accès l’acteur a-t-il établi, quelle persistance reste-t-il et quelle valeur de renseignement a-t-il acquise. »
L’incident met en évidence la convergence croissante entre les activités d’intrusion parrainées par l’État et les activités cybercriminelles, selon Rapid7.
ChamelGang, un groupe d’espionnage lié à la Chine, aurait utilisé un ransomware pour dissimuler ses activités d’espionnage. Des groupes liés à l’État nord-coréen ont également eu recours à des ransomwares et à des tactiques de cybercriminalité, bien que souvent pour générer des revenus plutôt que pour pure tromperie.
