Le gang Cuba Ransomware s’est associé aux opérateurs de spam du malware Hancitor pour accéder plus facilement aux réseaux d’entreprise compromis.
Le téléchargeur Hancitor (Chancitor) est opérationnel depuis 2016, lorsque Zscaler l’a vu distribuer le cheval de Troie voleur d’informations Vawtrak. Depuis lors, de nombreuses campagnes ont été vues au fil des ans où Hancitor installe des voleurs de mots de passe, tels que Pony, Ficker et plus récemment, Cobalt Strike.
Hancitor est généralement distribué par le biais de campagnes de spam malveillantes prétendant être des factures DocuSign, comme indiqué ci-dessous.
Lorsqu’un destinataire clique sur le lien «Signer le document», il télécharge un document Word malveillant qui tente de convaincre la cible de désactiver les protections.
Une fois les protections désactivées, des macros malveillantes se déclenchent pour télécharger et installer le téléchargeur Hancitor.
Cuba ransomware s’associe à Hancitor
Semblable à la façon dont Ryuk et Conti se sont associés à TrickBot et Egregor et ProLock ont travaillé avec QBot, le Cuba Ransomware s’est associé à Hancitor pour accéder aux réseaux compromis.
Dans un nouveau rapport de la société de cybersécurité Group-IB, des chercheurs ont détecté de récentes campagnes Hancitor laissant tomber des balises Cobalt Strike sur des ordinateurs infectés.
Cobalt Strike est une boîte à outils de test de pénétration légitime qui utilise des balises ou des clients déployés sur des appareils compromis pour «créer des shells, exécuter des scripts PowerShell, effectuer une élévation de privilèges ou créer une nouvelle session pour créer un écouteur sur le système victime».
Les gangs de ransomwares utilisent couramment des versions craquées de Cobalt Strike dans le cadre de leurs attaques pour prendre pied et se propager latéralement sur un réseau.
Une fois les balises Cobalt Strike déployées, les chercheurs du Groupe IB affirment que les acteurs de la menace utilisent cet accès à distance pour collecter les informations d’identification du réseau, les informations de domaine et se répandre sur tout le réseau.
«Les capacités du Beacon ont également été utilisées pour analyser le réseau compromis. En outre, le groupe a exploité certains outils personnalisés pour la reconnaissance du réseau. Le premier outil s’appelle Netping – il s’agit d’un simple scanner capable de collecter des informations sur les hôtes actifs du réseau et de les enregistrer. dans un fichier texte, l’autre outil, Protoping, pour collecter des informations sur les partages réseau disponibles. »
«Les outils intégrés ont également été utilisés de manière abusive. Par exemple, l’adversaire a utilisé la commande net view pour collecter des informations sur les hôtes du réseau et l’utilitaire nltest pour collecter des informations sur le domaine compromis», explique Group-IB dans un rapport publié aujourd’hui.
Pour passer latéralement d’une machine à l’autre, les acteurs de la menace utilisent Remote Desktop, et si leurs balises Cobalt Strike ont été détectées, via d’autres logiciels malveillants de porte dérobée tels que SystemBC.
« Ficker stealer n’était pas le seul outil annoncé publiquement dans l’arsenal des acteurs de la menace. Un autre outil, qui devient de plus en plus populaire parmi divers opérateurs de ransomware – SystemBC. Ces portes dérobées supplémentaires permettaient aux attaquants de télécharger et d’exécuter des charges utiles supplémentaires même si Cobalt L’activité de grève a été détectée et bloquée », ont averti les chercheurs.
Lors de leur déplacement sur le réseau, les données non chiffrées sont récoltées et envoyées à des serveurs distants sous le contrôle de l’attaquant pour être utilisées dans le cadre d’une stratégie de double extorsion.
Lorsque les acteurs ont enfin accès aux informations d’identification d’un administrateur de domaine, ils déploient l’exécutable du ransomware via PsExec pour crypter les appareils sur le réseau.
Le partenariat peut accélérer les attaques
Depuis son lancement fin 2019, Cuba Ransomware n’a pas été particulièrement actif par rapport à d’autres opérations, telles que REvil, Avaddon, Conti et DoppelPaymer.
Au moment d’écrire ces lignes, ils ont publié les données de neuf entreprises sur leur site de fuite de données.
Leur attaque la plus médiatisée était contre l’ATFS, un processeur de paiement largement utilisé pour les gouvernements locaux et étatiques.
Avec leurs attaques désormais alimentées par des campagnes de spam, nous devrions nous attendre à voir bientôt une augmentation du nombre de victimes.
Il convient également de noter que si Cuba Ransomware utilise une image de Fidel Castro et porte le nom du pays Cuba, un rapport de la société de cybersécurité Profero estime qu’ils sont basés hors de Russie. En effet, Profero a trouvé la langue russe sur le site de fuite de données du gang et pendant les négociations.