- Actualités
- >cybersécurité
Microsoft met en garde contre les publicités malveillantes propagant le ransomware CACTUS
- , Publié le 5 décembre 2023
- , à0 h 34 min
Microsoft a mis en garde contre une nouvelle vague d’attaques de ransomware CACTUS qui utilisent des appâts publicitaires malveillants pour déployer DanaBot comme vecteur d’accès initial.
Les infections par DanaBot ont conduit à « l’activité au clavier de l’opérateur de ransomware Storm-0216 (Twisted Spider, UNC2198), qui a abouti au déploiement du ransomware CACTUS », a déclaré l’équipe Microsoft Threat Intelligence dans une série de messages sur X (anciennement Twitter).
DanaBot, repéré par le géant technologique sous le nom de Storm-1044, est un outil multifonctionnel dans la lignée d’Emotet, TrickBot, QakBot et IcedID, capable d’agir comme voleur et point d’entrée pour des charges utiles de niveau suivant.
UNC2198, pour sa part, a déjà été observé en train d’infecter des points finaux avec IcedID pour déployer des familles de ransomware telles que Maze et Egregor, comme l’a indiqué Mandiant, une société appartenant à Google, en février 2021.
Selon Microsoft, l’acteur de la menace a également profité de l’accès initial fourni par les infections par QakBot. Le passage à DanaBot est donc probablement le résultat d’une opération coordonnée des forces de l’ordre en août 2023 qui a mis fin à l’infrastructure de QakBot.
« La campagne actuelle de Danabot, observée pour la première fois en novembre, semble utiliser une version privée du logiciel malveillant de vol d’informations au lieu de l’offre de logiciels malveillants en tant que service », ajoute Redmond.
Les informations d’identification recueillies par le logiciel malveillant sont transmises à un serveur contrôlé par l’acteur, ce qui est suivi d’un mouvement latéral via des tentatives d’ouverture de session RDP et, finalement, d’un transfert d’accès à Storm-0216. Cette révélation intervient quelques jours après qu’Arctic Wolf a dévoilé une autre série d’attaques de ransomware CACTUS qui exploitent activement des vulnérabilités critiques dans une plateforme d’analyse de données appelée Qlik Sense afin d’accéder aux réseaux d’entreprise. Elle fait également suite à la découverte d’une nouvelle souche de ransomware macOS baptisée Turtle, écrite dans le langage de programmation Go et dotée d’une signature adhoc, ce qui l’empêche d’être exécutée au lancement en raison des protections Gatekeeper.
