Observatoire des ransomwares - Mai 2023

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Sur le mois de mai 2023, le CERT-XMCO a identifié la publication des noms de 596 victimes par 29 opérateurs de ransomware.
Cela représente une hausse d’environ 62% par rapport au mois précédent.

Victimes par pays

Les États-Unis ont été les plus touchés par les attaques des opérateurs de ransomware durant le mois de mai, avec la publication de 234 nouvelles victimes.
Viennent ensuite :

• Italie (53) ;
• Russie (51) ;
• Royaume-Uni (31) ;
• Canada (30) ;
• Allemagne (27) ;
• Espagne (14) ;

Victimes par secteur d’activité

Durant le mois de mai, on constate que les secteurs d’activités les plus ciblés sont :

• Services informatiques (94) ;
• Services éducatifs (32) ;
• Construction (26) ;
• Services juridiques (25) ;
• Services de comptabilité (25) ;
• Services de santé (22) ;

Analyse des opérateurs

Le mois de mai a été marqué par 3 phénomènes principaux :

Exploitation des codes sources des ransomwares LockBit et Babuk par les opérateurs de Buhti

Les chercheurs de Symantec ont rapporté que les opérateurs du ransomware Buhti (aussi traqué comme Blacktail) auraient exploité des TTPs basées sur les codes sources des malwares LockBit et Babuk. Observé pour la première fois en février 2023 par les chercheurs de l’Unit 42, le mode opératoire Buhti aurait ciblé les systèmes d’exploitation Windows, en utilisant une variante légèrement modifiée du code source du ransomware LockBit, divulgué en septembre 2022 sur Twitter par un affilié mécontent. Dans le cadre des attaques ciblant les systèmes d’exploitation Linux, les opérateurs de Buhti auraient utilisé une payload basée sur le code source du malware Babuk qu’un acteur de la menace aurait publié sur XSS en septembre 2021.

Détection d’une nouvelle famille de ransomware nommée Akira

Dans un rapport publié le 6 avril 2023, les équipes CERT de Sophos sont revenues sur l’observation d’une campagne d’attaques menée par le groupe de ransomware Akira contre des organismes en Amérique du Nord. 2 compromissions aux TTPs similaires auraient été identifiées au cours du mois d’avril. Dans les deux cas, les victimes ont vu leurs fichiers chiffrés avec l’extension .akira. Selon les chercheurs de Sophos, le ransomware Akira ne présenterait aucune similitude de code avec une précédente souche du ransomware portant le même nom, active en 2017. Le mode opératoire exploitant le ransomware Akira aurait recours à la manipulation d’un compte utilisateur configuré intentionnellement pour permettre le contournement de l’authentification multifactorielle (MFA).

Les ransomwares Cl0p et LockBit 3.0 exploiteraient les vulnérabilités des serveurs PaperCut

Identifiées le 26 avril 2023 sur le logiciel de gestion d’impression PaperCut, les vulnérabilités référencées CVE-2023-27350 et CVE-2023-27351 seraient activement exploitées par des modes opératoires diffusant les ransomwares Cl0p et LockBit 3.0. Ces 2 vulnérabilités permettraient aux modes opératoires d’exécuter du code arbitraire à distance en tant que SYSTEM et d’accéder à des données sensibles liées aux utilisateurs de PaperCut MF/NG. Selon les analystes de Microsoft, le ransomware Cl0p serait également diffusé par un autre mode opératoire nommé Lace Tempest depuis le 13 avril.

Revue des évènements marquants

Après une période d’inactivité, le groupe de ransomware FIN7 aurait lancé une nouvelle campagne d’attaque

Microsoft Security Intelligence a indiqué dans une série de tweets avoir identifié une nouvelle campagne, datant d’avril 2023, du groupe russophone FIN7 (alias ELBRUS, Sangria Tempest, Carbanak). Ce dernier opère depuis 2015 mais était inactif depuis fin 2021. Microsoft Security Intelligence fournit peu de détails sur les victimes de la campagne, mais FIN7 a historiquement ciblé les restaurants, les casinos et l’industrie hôtelière principalement aux États-Unis, mais aussi en France, Australie et Royaume-Uni. Selon les analystes, dans la campagne observée, FIN7 exécuterait un script Powershell nommé POWERTRASH afin de télécharger le malware Lizar sur la machine de la victime.

Le groupe de ransomware Royal aurait compromis les systèmes de la ville de Dallas

Dans un communiqué publié le 3 mai 2023, le Centre des opérations de sécurité (SOC) de la ville de Dallas a annoncé l’identification d’une attaque menée par le groupe de ransomware Royal, menant à la compromission des systèmes d’information (SI) de la ville et le chiffrement des données. Selon un article de DARKReading, l’attaque aurait eu des répercussions sur plusieurs domaines fonctionnels, notamment le site web du département de la police de Dallas. Brett Callow, analyste CTI chez Emsisoft, a partagé sur Twitter une copie de la note de rançon du groupe Royal, éditée sur les imprimantes du réseau de la ville de Dallas le matin du 3 mai, dans laquelle le groupe menaçait de faire fuiter les données volées. Les autorités ont annoncé qu’elles s’efforçaient d’évaluer les conséquences de l’attaque sur le périmètre compromis.

La version Linux du ransomware RTM Locker ciblerait les serveurs VMware ESXi

Des acteurs de la menace non identifiés auraient développé une version du ransomware Read The Manual Locker (RTM), ciblant spécifiquement les infrastructures Linux des serveurs VMware ESXi. Le groupe d’acteurs malveillants associé au Ransomware-as-a-Service (RaaS) Read The Manual serait actif depuis au moins 2015. La société de cybersécurité Trellix a observé le recrutement d’affiliés, y compris ceux de l’ancien groupe de ransomware russophone Conti. Le code source de RTM serait basé sur celui de Babuk, ayant fuité en septembre 2021. RTM utiliserait une génération de nombres aléatoires et ECDH sur Curve25519 pour le chiffrement asymétrique et s’appuierait sur ChaCha20 pour le chiffrement symétrique. Le RaaS serait vendu sur plusieurs sites et disposerait d’un service client via la messagerie chiffrée peer-to-peer TOX.

Références