L’acteur UNC3944 passe au ransomware

Mandiant.

« UNC3944 s’est davantage concentré sur le vol de grandes quantités de données sensibles à des fins d’extorsion et semble comprendre les pratiques commerciales occidentales, peut-être en raison de la composition géographique du groupe », a déclaré la société de renseignement sur les menaces.

« UNC3944 s’est également toujours appuyé sur des outils accessibles au public et des logiciels légitimes en combinaison avec des logiciels malveillants disponibles à l’achat sur des forums clandestins.

Le groupe, également connu sous les noms de 0ktapus, Scatter Swine et Scattered Spider, est actif depuis le début de l’année 2022, adoptant l’ingénierie sociale par téléphone et l’hameçonnage par SMS pour obtenir les informations d’identification valides des employés à l’aide de fausses pages de connexion et infiltrer les organisations victimes, reflétant ainsi les tactiques adoptées par un autre groupe appelé LAPSUS$.

Alors que le groupe se concentrait à l’origine sur les entreprises de télécommunications et d’externalisation des processus d’affaires (BPO), il a depuis étendu son ciblage à l’hôtellerie, à la vente au détail, aux médias et aux divertissements, ainsi qu’aux services financiers, ce qui illustre la menace grandissante.

L’une des principales caractéristiques des acteurs de la menace est qu’ils sont connus pour utiliser les informations d’identification d’une victime pour se faire passer pour un employé lors d’appels au service d’assistance de l’organisation dans le but d’obtenir des codes d’authentification multifactorielle (MFA) et/ou des réinitialisations de mot de passe.

Il convient de noter qu’au début du mois, Okta a mis en garde ses clients contre les mêmes attaques, le gang de cybercriminels appelant les services d’assistance informatique des victimes pour tromper le personnel d’assistance afin qu’il réinitialise les codes d’authentification multifactorielle des employés ayant des privilèges élevés, ce qui leur permet d’accéder à ces précieux comptes.
Dans un cas, un employé aurait installé le logiciel malveillant RECORDSTEALER par le biais d’un faux téléchargement de logiciel, ce qui a ensuite facilité le vol d’informations d’identification. Les pages de connexion frauduleuses conçues à l’aide de kits de phishing tels que EIGHTBAIT et d’autres sont capables d’envoyer les informations d’identification capturées à un canal Telegram contrôlé par l’acteur et de déployer AnyDesk.

L’adversaire a également été observé en train d’utiliser une variété de voleurs d’informations (par exemple, Atomic ULTRAKNOT ou Meduza Vidar) et d’outils de vol d’informations d’identification (par exemple, MicroBurst) pour obtenir l’accès privilégié nécessaire pour atteindre ses objectifs, augmenter les opérations. Une partie de l’activité d’UNC3944 comprend l’utilisation abusive des ressources en nuage de l’organisation victime, l’hébergement d’utilitaires malveillants, la désactivation de logiciels de sécurité de pare-feu et leur livraison à d’autres points d’extrémité, ce qui souligne l’évolution de la technique du groupe de pirates informatiques.

Les dernières découvertes interviennent alors que le groupe est devenu affilié à BlackCat (alias ALPHV Noberus), une équipe de ransomware qui profite de son nouveau statut pour ouvrir une brèche dans MGM Resorts et distribuer des logiciels malveillants de cryptage de fichiers. « Les acteurs de la menace opèrent à un rythme opérationnel extrêmement élevé, accédant à des systèmes critiques et exfiltrant de grands volumes de données en quelques jours », souligne Mandiant. « Lorsqu’ils déploient des ransomwares, les acteurs de la menace semblent cibler spécifiquement des machines virtuelles critiques pour l’entreprise, d’autres systèmes tentant probablement de maximiser l’impact sur la victime. »