News
L’Unit 42 de Palo Alto Networks découvre un nouveau groupe de Ransomware-as-a-service appelé Repellent Scorpius
septembre 2024 par Unit 42 de Palo Alto Networks
L’Unit 42 révélait récemment dans sa récente analyse semestrielle une augmentation de 4,3 % en glissement annuel du nombre d’annonces de compromissions, avec plus de 1 762 nouveaux messages publiés, soit une moyenne de 294 messages par mois et près de 68 messages par semaine. Pour rappel, en février, l’Unit 42 avait relevé une augmentation d’une année sur l’autre de 49 % du nombre de victimes présumées affichées sur des sites de fuites de rançongiciels. Les annonces de ransomware continuent d’augmenter, malgré de nombreuses perturbations et arrestations notables des forces de l’ordre.
Alors que les incidents de ransomware continuent de se multiplier, l’Unit 42 de Palo Alto Networks a découvert un nouveau groupe de ransomware-as-a-service (RaaS) appelé "Repellent Scorpius", qui distribue le ransomware Cicada3301.
Ce que l’on sait sur Repellent Scorpius
Repellent Scorpius utilise un schéma d’extorsion double, consistant à chiffrer les systèmes. Cela implique de voler des données et de menacer de les publier si la victime ne paie pas la rançon.Ce groupe de ransomware a commencé ses opérations en mai 2024 et progresse rapidement en mettant en place un programme d’affiliation et en recrutant des partenaires, ce qui accélère le nombre de ses victimes.
Le nom sous lequel le groupe de ransomware opère est intrigant. Selon Wikipedia, le nom 3301 fait référence à trois séries de puzzles complexes et mystérieux qui sont apparus pour la première fois sur 4chan entre 2012 et 2014, tous signés avec le pseudonyme 3301. La troisième série de ces puzzles reste non résolue à ce jour.
Il est à noter que l’Unit 42 a observé des signes indiquant que le groupe dispose de données obtenues lors d’anciens incidents de compromission. Il est difficile de savoir si cela signifie que l’acteur de la menace opérait auparavant en utilisant un autre nom de ransomware, ou s’il a acheté ou hérité de données d’autres groupes de ransomware.
Sur la base des résultats de l’enquête et du modus operandi du groupe, l’Unit 42 estime que les attaquants ont obtenu un accès initial grâce à des identifiants volés, probablement achetés auprès d’un IAB (Initial access brokers).
Exécution : Les enquêteurs de l’Unité 42 ont observé des attaquants utilisant un script de lot nommé 1.bat pour exécuter la charge utile du ransomware contre plusieurs hôtes au sein du réseau client
Mouvement latéral : PsExec est un outil que les attaquants ont exploité pour exécuter la charge utile du ransomware contre différents hôtes du réseau.
Les enquêteurs de l’Unité 42 ont trouvé la création du fichier suivant C :\ProgramData\found_shares.txt. Il y a eu des occurrences antérieures de PowerView, un module PowerSploit PowerShell, le stockage des résultats d’énumération de partage de fichiers dans le même chemin de fichier et de multiples intrusions de ransomware ont tiré parti de cette technique.
Exfiltration : Les enquêteurs de l’Unité 42 ont identifié Rclone (un utilitaire open source) comme l’outil utilisé pour l’exfiltration. Les attaquants ont installé l’outil dans le chemin de fichier ProgramData (C :\ProgramData\rclone.exe), ainsi que le fichier de configuration (C :\ProgramData\rclone.conf).
