L’acteur de la menace UNC3944 motivé financièrement se concentre sur les attaques de ransomwares

18 septembre 2023THNIntelligence sur les menaces / Ransomwares

L’acteur menaçant motivé par des raisons financières, connu sous le nom de UNC3944 se tourne vers le déploiement de ransomwares dans le cadre de l’expansion de ses stratégies de monétisation, a révélé Mandiant.

“UNC3944 s’est davantage concentré sur le vol de grandes quantités de données sensibles à des fins d’extorsion et semble comprendre les pratiques commerciales occidentales, probablement en raison de la composition géographique du groupe”, a déclaré la société de renseignement sur les menaces. dit.

“UNC3944 s’est également toujours appuyé sur des outils accessibles au public et des logiciels légitimes, en combinaison avec des logiciels malveillants disponibles à l’achat sur des forums clandestins.”

Le groupe, également connu sous les noms de 0ktapus, Scatter Swine et Scattered Spider, est actif depuis début 2022, adoptant l’ingénierie sociale par téléphone et le phishing par SMS pour obtenir les informations d’identification valides des employés à l’aide de fausses pages de connexion et infiltrer la victime. organisations, reflétant les tactiques adoptées par un autre groupe appelé LAPSUS$.

Alors que le groupe se concentrait à l’origine sur les entreprises de télécommunications et d’externalisation des processus métiers (BPO), il a depuis élargi son ciblage pour inclure l’hôtellerie, la vente au détail, les médias et le divertissement, ainsi que les services financiers, illustrant la menace croissante.

L’une des principales caractéristiques des acteurs malveillants est qu’ils sont connus pour exploiter les informations d’identification d’une victime pour usurper l’identité de l’employé lors des appels au centre de services de l’organisation dans le but d’obtenir des codes d’authentification multifacteur (MFA) et/ou des réinitialisations de mot de passe.

Il convient de noter qu’Okta, plus tôt ce mois-ci, a averti ses clients des mêmes attaques, le gang de cybercriminalité appelant les services d’assistance informatique des victimes pour inciter le personnel d’assistance à réinitialiser les codes MFA des employés dotés de privilèges élevés, leur permettant ainsi d’accéder. à ces précieux comptes.

Dans un cas, un employé aurait installé le logiciel malveillant RECORDSTEALER via un faux téléchargement de logiciel, ce qui a ensuite facilité le vol d’informations d’identification. Les pages de connexion malveillantes, conçues à l’aide de kits de phishing tels que EIGHTBAIT et autres, sont capables d’envoyer les informations d’identification capturées à un canal Telegram contrôlé par un acteur et de déployer AnyDesk.

L’adversaire a également été observé utilisant divers voleurs d’informations (par exemple, Atomic, ULTRAKNOT ou Meduza et Vidar) et des outils de vol d’informations d’identification (par exemple, Microrafale) pour obtenir l’accès privilégié nécessaire pour atteindre ses objectifs et augmenter ses opérations.

Une partie de l’activité de UNC3944 comprend l’utilisation de services proxy résidentiels commerciaux pour accéder à leurs victimes afin d’échapper à la détection et aux logiciels d’accès à distance légitimes, ainsi que la réalisation d’une reconnaissance approfondie des répertoires et du réseau pour aider à élever les privilèges et à maintenir la persistance.

Il convient également de noter l’abus des ressources cloud de l’organisation victime pour héberger des utilitaires malveillants afin de désactiver les logiciels de pare-feu et de sécurité et de les transmettre à d’autres points finaux, soulignant l’évolution du savoir-faire du groupe de piratage.

Les dernières découvertes surviennent alors que le groupe est devenu une filiale de l’équipe de ransomware BlackCat (alias ALPHV ou Noberus), profitant de son nouveau statut pour enfreindre MGM Resorts et distribuer le malware cryptant les fichiers.

« Les auteurs de la menace opèrent à un rythme opérationnel extrêmement élevé, accédant aux systèmes critiques et exfiltrant d’importants volumes de données en quelques jours », a souligné Mandiant.

“Lors du déploiement de ransomwares, les auteurs de la menace semblent cibler spécifiquement les machines virtuelles et autres systèmes critiques pour l’entreprise, probablement dans le but de maximiser l’impact sur la victime.”