En analysant les journaux de communication internes divulgués, les chercheurs en sécurité constituent comment l’un des groupes de ransomware les plus notoires infiltre ses victimes.
Black Basta, l’un des groupes de ransomware les plus réussis au cours des dernières années, a récemment eu une fuite majeure de ses communications internes. Les journaux donnent un aperçu du livre de jeu d’un groupe de ransomware de haut niveau et de ses méthodes préférées pour obtenir un accès initial aux réseaux, comme le montrent l’analyse des chercheurs en sécurité.
«Les principaux vecteurs d’attaque utilisés par Black Basta incluent la numérisation pour les services RDP exposés (protocole de bureau distant) et les services VPN – s’appuyant souvent sur des informations d’identification VPN par défaut ou des informations d’identification volées brutales pour obtenir un accès initial – et l’exploitation des CVE connues lorsque les systèmes restent non lus», les chercheurs de la société de gestion des patchs Qualys ont écrit dans une analyse des journaux enveloppés.
Pendant ce temps, la société de renseignement Cyber Threat Kela a observé des corrélations entre les 3 000 informations d’identification uniques présentes dans les journaux divulgués et les vidages de données antérieurs de l’infostection des logiciels malveillants, suggérant des relations avec d’autres groupes de menaces qui collectent puis vendent de telles données.
« Kela a vu les acteurs s’approvisionner par des informations d’identification en utilisant des vulnérabilités et des campagnes de phishing / spam, ainsi que de l’utilisation d’identification par e-mail compromis, puis de rechercher des informations d’identification à distance dans les conversations par e-mail », ont écrit les chercheurs de Kela dans un rapport. « Ensuite, ces informations d’identification ont été utilisées comme vecteur d’accès initial ou en phase de mouvement latéral. »
Enfin, le groupe s’appuie régulièrement sur des vulnérabilités connues publiquement dans les appareils orientés Internet, en particulier les défauts qui ont des exploits de preuve de concept disponibles. Selon une analyse des chercheurs de la société de renseignement de vulnérabilité Vulncheck, les journaux de Basta noirs divulgués contenaient 62 CVE uniques.
Exploits armées et erronés communs
Selon Vulncheck, 53 des 62 CVE mentionnés dans les journaux sont connus pour être exploités publiquement et 44 apparaissent également dans le catalogue connu des vulnérabilités exploitées (KEV) maintenue par l’Agence américaine de sécurité de cybersécurité et d’infrastructure.
Certaines des vulnérabilités mentionnées dans les journaux sont anciennes, mais répandues, telles que la faille d’exécution du code à distance CVE-2022-30190 dans la fonction de modèle à distance Microsoft Office, également connu sous le nom de Follina Flaw, qui a été largement exploité via des pièces jointes malveillantes. D’autres défauts bien connus incluent Log4Shell (CVE-2021-44228), Spring4Shell (CVE-2022-22965) et Proxynotshell (CVE-2022-41028, CVE-2022-41040).
Cependant, selon les journaux de communication, Black Basta est également généralement rapide pour discuter des vulnérabilités nouvellement publiées, dont plusieurs auprès du groupe semble avoir eu accès avant la publication officielle: Fortinet Fortios (CVE-2024-23113), le thème WordPress de briques (CVE-2024-25600) et EXIM Email (CVE-2023-42115).
“Within days of new security advisories being issued, members discussed vulnerabilities related to products such as Citrix NetScaler, Check Point Quantum Security Gateways, ConnectWise ScreenConnect, Microsoft Office Outlook, Fortinet FortiSIEM, Palo Alto Networks PAN-OS, Atlassian Confluence Server and Data Center, Cisco IOS XE Web UI, Microsoft Windows, GitLab CE/EE, and Fortinet Fortios », ont constaté les chercheurs de Vulncheck.
Vulncheck a également vu des preuves qui suggèrent que les membres de Blast Basta ont les ressources nécessaires pour développer de nouveaux exploits ou ont envisagé d’acheter des exploits zéro-jours auprès de sources tierces. Le groupe a également régulièrement discuté de divers outils de cybersécurité offensifs et défensifs, notamment Zoomfo, Chatgpt, Github, Shodan, Fofa, Metasploit, Core Impact, Cobalt Strike et Nuclei.
Des chercheurs de Qualys, qui ont effectué une analyse des vulnérabilités qui reflète les conclusions de Vulncheck, a également extrait des journaux de certaines des principales erreurs de configuration que les membres de Black Basta semblaient cibler.
Il s’agit notamment de SMBV1 activé sur les systèmes hérités; des informations d’identification par défaut pour une variété d’appareils accessibles au public, y compris des serveurs, des routeurs, des VPN et d’autres appareils IoT; Configurations faibles pour les solutions VPN d’entreprise populaires de Cisco, Fortinet et Palo Alto Networks GlobalProtect; RDP exposé sans filtrer sur les serveurs Windows; seaux publics AWS S3; serveurs Jenkins CI / CD ouverts; Authentification MSSQL faible; Citrix NetScaler mal congurations; et les enregistrements DNS orphelins pour les sous-domaines.
Beaucoup de ces vulnérabilités restent des cibles actives pour les attaquants. La plate-forme de détection d’attaques Greynoise a rapporté cette semaine que 23 des 62 vulnérabilités mentionnées dans les journaux de Basta noirs ont connu une exploitation active au cours des 30 derniers jours, ce qui signifie que les organisations devraient immédiatement évaluer leur exposition potentielle.
De l’infostaler à ransomware
Les infostelleurs sont des programmes de logiciels malveillants conçus pour gratter les informations de connexion stockées dans les magasins de mot de passe du navigateur et d’autres applications. Ces menaces sont de plus en plus offertes en tant que service sur les forums cybercriminaux, et selon une étude récente, leur prévalence a augmenté trois au cours de la dernière année. Les informations volées par de tels outils, connues sous le nom de journaux d’infostealer, ont augmenté de 50% sur le Web Dark en même temps.
Les chercheurs de Kela mettent en évidence un exemple où ces informations ont permis aux attaquants de Blasta noirs de compromettre une société de support de logiciels et de technologie brésilienne. La société a été compromise vers le 18 octobre 2013, en utilisant les informations d’identification de connexion RDWEB qui sont apparues à l’origine dans les journaux d’infostealer en mars 2013.
Les preuves des journaux Black Basta montrent que les attaquants partageant des décharges d’identification hachés supplémentaires de l’entreprise, suggérant qu’ils étaient engagés dans un mouvement latéral. Il a fallu six mois aux attaquants pour obtenir des informations d’accès initiales utiles à partir d’un vidage de données d’infostealer, puis seulement deux jours pour compromettre une entreprise, exfiltrat les données pour l’extorsion et déployer le ransomware.
Ce qui est plus effrayant, c’est que le même journal d’infosaler qui contenait les informations d’identification d’accès initiales, contenait également 50 autres informations d’identification, dont certaines semblent liées aux clients de la société de logiciels brésiliens. Les chercheurs de Kela concluent que les données ont probablement été volées en compromettant la machine d’un employé de soutien technique.
« Cette approche structurée, de l’accès initial au vol de données et à l’extorsion publique, présente l’utilisation stratégique de Black Basta des informations d’identification compromises, de reconnaissance interne et de profilage des victimes pour maximiser l’impact de leurs campagnes de ransomware », ont écrit les chercheurs.
Voir aussi:
- 5 choses à savoir sur les menaces de ransomware en 2025
- Les gangs de ransomware extorquent les victimes 17 heures après l’intrusion en moyenne
- Groupes de ransomware émergents en augmentation: qui ils sont, comment ils fonctionnent
