Observatoire des ransomwares - Juin 2023

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Sur le mois de juin 2023, le CERT-XMCO a identifié la publication des noms de 433 victimes par 28 opérateurs de ransomware.
Cela représente une baisse d’environ 27% par rapport au mois précédent.

Victimes par pays

Les États-Unis ont été les plus touchés par les attaques des opérateurs de ransomware durant le mois de juin, avec la publication de 211 nouvelles victimes.
Viennent ensuite :

• Royaume-Uni (27) ;
• Suisse (15) ;
• Allemagne (14) ;
• Canada (14) ;
• Brésil (13) ;
• France (11).

Victimes par secteur d’activité

Durant le mois de juin, on constate que les secteurs d’activités les plus ciblés sont :

• Services informatiques (46) ;
• Services éducatifs (32) ;
• Construction (31) ;
• Courtiers en valeurs mobilières et en produits de base, négociants, bourses et services (24) ;
• Services de santé (23) ;
• Services d’assurance (19).

Analyse des opérateurs

Le mois de juin a été marqué par 3 phénomènes principaux :

L’exploitation de la « 0-day » dans MOVEit Transfer par le groupe de ransomware Cl0p

Divulguée publiquement le 31 mai 2023 par Progress, puis référencée comme CVE-2023-34362 le 2 juin 2023, la vulnérabilité 0-day permettrait d’exécuter du code à distance.

Une première liste de victimes revendiquées par le groupe de ransomware Cl0p a été publiée le jeudi 15 juin 2023, parmi lesquelles se trouveraient notamment la multinationale britannique Shell et les cabinets de conseil EY et PwC. La CISA a également révélé que plusieurs agences fédérales américaines avaient été victimes d’une intrusion. Deux entités du ministère américain de l’énergie (DOE) ont également été compromises, selon Federal News Network.

Le groupe de ransomware déclare avoir effacé l’ensemble des informations relatives aux instances gouvernementales, affirmant que leur source de motivation restait uniquement basée sur la recherche de gains financiers.

Apparition du nouveau groupe de ransomware 8Base

Malgré une augmentation significative de son activité pendant le mois de juin 2023, le groupe de ransomwares 8Base reste relativement peu connu.

La victimologie du groupe s’articulerait autour de différents secteurs d’activité, en adoptant une approche opportuniste.

Le nombre d’attaques revendiquées par les opérateurs d’8Base permet d’observer l’efficacité d’un mode opératoire établi. Dès lors, il n’est pas à exclure que les opérateurs du groupe de ransomware soient d’anciens acteurs malveillants issus d’autres groupes dissous.

Exploitation d’éléments de code du ransomware Conti par LockBit Green

Les chercheurs de Kaspersky auraient identifié des similitudes de code entre les ransomwares LockBit et ceux de BlackMatter et DarkSide. En février 2023, Kaspersky avait déjà identifié 25% du code exploité par la variante Lockbit Green comme identique à celui développé par le groupe de ransomware russophone Conti.

Cette tendance à la réutilisation de code entre les groupes de ransomware avait déjà été identifiée le 30 mai 2023 lorsque les opérateurs du ransomware Buhti (aussi traqué comme Blacktail) avaient exploité des TTPs basées sur les codes sources des malwares de LockBit et Babuk.

Revue des évènements marquants

Compromission d’une base de données Reddit par le groupe de ransomware BlackCat/ALPHV (cf. CXN-2023-3268)

La plateforme Reddit aurait subi une intrusion en février 2023 revendiquée par le groupe de ransomware BlackCat/ALPHV.

Lors de l’attaque, les opérateurs du groupe auraient réussi à collecter 80 Go de documents et projets internes. De nombreux comptes Reddit auraient été compromis à l’issue d’une campagne de phishing, permettant aux acteurs malveillants d’obtenir un accès sur les dashboards internes.

Les principaux systèmes de production de l’entreprise n’auraient néanmoins pas été compromis.

Publication de documents confidentiels dérobés à l’armée chilienne par le ransomware Rhysida

L’opérateur de ransomware Rhysida aurait compromis Ejército de Chile, l’armée chilienne, et publié les documents confidentiels sur son site vitrine hébergé sur le Dark Web.

L’armée chilienne est la branche terrestre des Forces armées chiliennes en charge de la défense militaire du Chili, et notamment du maintien de l’intégrité territoriale et la souveraineté nationale du pays.

Cette campagne illustre le fait que les employés et les personnes proches des organisations sont souvent les plus susceptibles de représenter une menace. Le 22 mai 2023, un analyste en sécurité informatique britannique a été reconnu coupable d’accès frauduleux à un ordinateur avec une intention criminelle et de chantage après s’être fait passer pour l’acteur malveillant responsable de la compromission de son entreprise.

Références

• https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
• https://www.cisa.gov/news-events/alerts/2023/06/15/progress-software-releases-security-advisory-moveit-transfer-vulnerability
• https://www.bleepingcomputer.com/news/security/moveit-transfer-customers-warned-of-new-flaw-as-poc-info-surfaces/
• https://edition.cnn.com/2023/06/15/politics/us-government-hit-cybeattack/index.html
• https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
• https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
• https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023
• https://twitter.com/onyphe/status/1664979141681184771
• https://www.guidepointsecurity.com/blog/grit-ransomware-report-may-2023/
• https://securelist.com/crimeware-report-lockbit-switchsymb/110068/
• https://www.reddit.com/r/reddit/comments/10y427y/we_had_a_security_incident_heres_what_we_know/
• https://securityaffairs.com/141409/data-breach/blackcat-ransomware-solar-industries-india.html
• https://securityaffairs.com/136537/cyber-crime/njvc-data-breach.html
• https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
• https://www.latercera.com/la-tercera-pm/noticia/hacker-marcial-pdi-detiene-a-cabo-del-ejercito-por-ciberataque-a-las-redes-internas-de-la-institucion-castrense/P6ZP6WUFSNEZ5CIMR7K7DXCIMA/