Le groupe 8Base mise sur le ransomware Phobos pour ses attaques motivées par des considérations financières

Ces conclusions proviennent de Cisco Talos, qui a enregistré une augmentation de l’activité menée par les cybercriminels.

« La plupart des variantes de Phobos du groupe sont distribuées par SmokeLoader, un cheval de Troie à porte dérobée », explique Guilherme Venere, chercheur en sécurité, dans une analyse exhaustive en deux parties publiée vendredi. « Ce chargeur de base dépose ou télécharge généralement des charges utiles supplémentaires lorsqu’il est déployé. Dans les campagnes de 8Base, cependant, il intègre le composant du ransomware dans ses charges utiles chiffrées, qui sont ensuite déchiffrées et chargées dans la mémoire du processus SmokeLoader. »

8Base a été mis en évidence au milieu de l’année 2023, lorsque la communauté de la cybersécurité a observé un pic d’activité similaire. Il serait actif au moins depuis mars 2022. Une analyse précédente de VMware Carbon Black, réalisée en juin 2023, avait identifié des parallèles entre 8Base et RansomHouse, en plus de la découverte d’un échantillon de ransomware Phobos utilisant l’extension de fichier « .8base » pour les fichiers cryptés. Il est donc probable que 8Base soit un successeur de Phobos ou que les acteurs de la menace derrière cette opération utilisent simplement des souches de ransomware déjà existantes pour mener leurs attaques, à l’instar du groupe de ransomware Vice Society.

Les dernières découvertes de Cisco Talos montrent que SmokeLoader est utilisé comme base de lancement pour exécuter la charge utile de Phobos, qui exécute ensuite des étapes pour établir la persistance, mettre fin aux processus qui peuvent garder les fichiers cibles ouverts, désactiver la récupération du système et supprimer les sauvegardes ainsi que les copies d’ombre. Une autre caractéristique notable est le chiffrement intégral des fichiers de moins de 1,5 Mo et le chiffrement partiel des fichiers dépassant ce seuil afin d’accélérer le processus de chiffrement. En outre, l’artefact intègre une configuration avec plus de 70 options qui sont cryptées à l’aide d’une clé codée en dur. La configuration débloque des fonctionnalités supplémentaires telles que le contournement du contrôle de compte d’utilisateur (UAC) et le signalement de l’infection d’une victime à une URL externe.

Cela intervient alors que FalconFeeds a révélé qu’un acteur de la menace fait la publicité d’un ransomware sophistiqué appelé UBUD, développé en C et doté de « fortes mesures anti-détection contre les machines virtuelles et d’outils de débogage ».

Elle fait également suite à une plainte officielle déposée par le groupe BlackCat ransomware auprès de la Securities and Exchange Commission (SEC) des États-Unis, alléguant que l’une de ses victimes, MeridianLink, n’a pas respecté les nouvelles réglementations en matière de divulgation qui exigent que les entreprises touchées signalent l’incident dans les quatre jours ouvrables, a rapporté DataBreaches.

L’éditeur de logiciels financiers a depuis confirmé avoir été la cible d’une cyberattaque le 10 novembre, mais n’a trouvé aucune preuve d’un accès non autorisé à ses systèmes.

MeridianLink est un éditeur de logiciels financiers.

Un autre gang de ransomware prolifique, LockBit, a quant à lui institué de nouvelles règles de négociation à partir d’octobre 2023, citant des règlements moins importants que prévu et des rabais plus importants offerts aux victimes en raison des « différents niveaux d’expérience des affiliés ». »

La mise en place d’un niveau minimum de ransomware est une bonne chose.

« Établir une demande de rançon minimale en fonction du revenu annuel de l’entreprise, par exemple à 3%, et interdire les remises de plus de 50% », ont déclaré les opérateurs de LockBit, selon un rapport détaillé d’Analyst1.

Les opérateurs de LockBit ont mis en place de nouvelles règles de négociation.

« Ainsi, si le chiffre d’affaires de l’entreprise est de 100 millions de dollars, la demande de rançon initiale devrait commencer à 3 millions de dollars et le paiement final ne devrait pas être inférieur à 1,5 million de dollars. »

 

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité.