Les acteurs menaçants derrière le Rançongiciel 8Base exploitent une variante du ransomware Phobos pour mener leurs attaques à motivation financière.
Les conclusions proviennent de Cisco Talos, qui a enregistré une augmentation de l’activité menée par les cybercriminels.
“La plupart des variantes de Phobos du groupe sont distribuées par SmokeLoader, un cheval de Troie de porte dérobée”, a déclaré le chercheur en sécurité Guilherme Venere dans une analyse exhaustive en deux parties publiée vendredi.
“Ce chargeur de produits supprime ou télécharge généralement des charges utiles supplémentaires lorsqu’il est déployé. Dans les campagnes 8Base, cependant, le composant ransomware est intégré dans ses charges utiles cryptées, qui sont ensuite déchiffrées et chargées dans la mémoire du processus SmokeLoader.”
8Base a fait l’objet d’une attention particulière à la mi-2023, lorsqu’un pic d’activité similaire a été observé par la communauté de la cybersécurité. Il serait actif au moins depuis mars 2022.
Une analyse précédente de VMware Carbon Black en juin 2023 a identifié des parallèles entre 8Base et RansomHouse, en plus de découvrir un échantillon de ransomware Phobos qui a été trouvé en utilisant l’extension de fichier « .8base » pour les fichiers cryptés.
Cela augmente la probabilité que 8Base soit un successeur de Phobos ou que les acteurs malveillants à l’origine de l’opération utilisent simplement des souches de ransomware déjà existantes pour mener leurs attaques, à l’instar du groupe de ransomware Vice Society.
Les dernières découvertes de Cisco Talos montrent que SmokeLoader est utilisé comme rampe de lancement pour exécuter la charge utile Phobos, qui exécute ensuite des étapes pour établir la persistance, mettre fin aux processus susceptibles de maintenir les fichiers cibles ouverts, désactiver la récupération du système et supprimer les sauvegardes ainsi que l’ombre. copies.
Une autre caractéristique notable est le cryptage complet des fichiers inférieurs à 1,5 Mo et le cryptage partiel des fichiers supérieurs au seuil pour accélérer le processus de cryptage.
De plus, l’artefact intègre une configuration avec plus de 70 options cryptées à l’aide d’une clé codée en dur. La configuration déverrouille des fonctionnalités supplémentaires telles que le contournement du contrôle de compte d’utilisateur (UAC) et le signalement d’une infection victime vers une URL externe.
Il existe également une clé RSA codée en dur utilisée pour protéger la clé AES par fichier utilisée dans le cryptage, qui, selon Talos, pourrait aider à permettre le décryptage des fichiers verrouillés par le ransomware.
“Une fois que chaque fichier est crypté, la clé utilisée dans le cryptage ainsi que les métadonnées supplémentaires sont ensuite cryptées à l’aide de RSA-1024 avec une clé publique codée en dur et enregistrées à la fin du fichier”, a expliqué Venere.
“Cela implique cependant qu’une fois la clé privée RSA connue, tout fichier crypté par n’importe quelle variante de Phobos depuis 2019 peut être déchiffré de manière fiable.”
Phobos, apparu pour la première fois en 2019, est une évolution du ransomware Dharma (alias Crysis), le ransomware se manifestant principalement sous les variantes Eking, Eight, Elbie, Devos et Faust, en fonction du volume d’artefacts découverts sur VirusTotal.
“Les échantillons contenaient tous le même code source et étaient configurés pour éviter de chiffrer des fichiers déjà verrouillés par d’autres affiliés de Phobos, mais la configuration changeait légèrement en fonction de la variante déployée”, a déclaré Venere. “Ceci est basé sur une liste de blocage d’extensions de fichiers dans les paramètres de configuration du ransomware.”
Cisco Talos estime que Phobos est étroitement géré par une autorité centrale, tout en étant vendu en tant que ransomware-as-a-service (RaaS) à d’autres sociétés affiliées sur la base de la même clé publique RSA, des variations des e-mails de contact et des mises à jour régulières de les listes de blocage d’extension du ransomware.
“Les listes de blocage des extensions semblent raconter quels groupes ont utilisé le même échantillon de base au fil du temps”, a déclaré Venere.
“Les listes de blocs d’extension trouvées dans les nombreux échantillons Phobos […] sont continuellement mis à jour avec de nouveaux fichiers qui ont été verrouillés lors des précédentes campagnes Phobos. Cela peut conforter l’idée selon laquelle il existe une autorité centrale derrière le constructeur qui garde la trace des personnes qui ont utilisé Phobos dans le passé. L’intention pourrait être d’empêcher les filiales de Phobos d’interférer les unes avec les autres. »
Le développement intervient alors que FalconFeeds divulgué qu’un acteur malveillant fait la publicité d’un produit ransomware sophistiqué appelé UBUD, développé en C et doté de « mesures anti-détection puissantes contre les machines virtuelles et les outils de débogage ».
Cela fait également suite à une plainte officielle déposée par le groupe de ransomware BlackCat auprès de la Securities and Exchange Commission (SEC) des États-Unis, alléguant que l’une de ses victimes, MeridianLink, n’avait pas respecté les nouvelles réglementations en matière de divulgation qui obligent les entreprises concernées à signaler l’incident dans un délai de quatre heures. jours, a rapporté DataBreaches.net.
La société de logiciels financiers a depuis confirmé qu’elle avait été la cible d’une cyberattaque le 10 novembre, mais a noté qu’elle n’avait trouvé aucune preuve d’accès non autorisé à ses systèmes.
Bien que les règles de divulgation de la SEC n’entrent en vigueur que le mois prochain, le 18 décembre, cette tactique de pression inhabituelle est le signe que les acteurs de la menace surveillent de près l’espace et sont prêts à contourner les réglementations gouvernementales à leur avantage et à obliger les victimes à payer.
Cela dit, il convient de noter que l’application des règles s’applique exclusivement dans les situations où les entreprises ont identifié que les attaques ont eu un impact « matériel » sur leurs résultats.
Entre-temps, LockBit, un autre gang prolifique de ransomwares, a institué de nouvelles règles de négociation à partir d’octobre 2023, citant des règlements moins que prévu et des remises plus importantes offertes aux victimes en raison des « différents niveaux d’expérience des affiliés ».
“Établir une demande de rançon minimale en fonction du chiffre d’affaires annuel de l’entreprise, par exemple à 3%, et interdire les remises supérieures à 50%”, ont indiqué les opérateurs de LockBit, selon un rapport détaillé d’Analyst1.
“Ainsi, si le chiffre d’affaires de l’entreprise est de 100 millions de dollars, la demande de rançon initiale devrait commencer à 3 millions de dollars et le paiement final ne doit pas être inférieur à 1,5 million de dollars.”