Nouvelles Du Monde

L’attaque BazarCall est de plus en plus utilisée par les acteurs de la menace des ransomwares

L’attaque BazarCall est de plus en plus utilisée par les acteurs de la menace des ransomwares
Image : Adobe Stock

AdvIntel a publié une nouvelle publication sur plusieurs acteurs de la menace utilisant désormais BazarCall dans le but de sensibiliser à cette menace.

Qu’est-ce que BazarCall et comment ça marche ?

BazarCall, également connu sous le nom de call back phishing, est une méthode utilisée par les cybercriminels pour cibler les victimes via un phishing élaboré.

Tout commence par un email, comme c’est souvent le cas. L’auteur de la menace envoie des e-mails d’apparence légitime aux cibles, prétendant qu’elles ont souscrit à un service avec paiement automatique. L’e-mail contient un numéro de téléphone au cas où la cible voudrait annuler l’abonnement et éviter de le payer. Il n’y a pas d’autre moyen d’accéder au service d’abonnement que de passer un appel téléphonique.

Lorsque les victimes appellent le numéro de téléphone contrôlé par l’auteur de la menace, diverses méthodes d’ingénierie sociale sont utilisées pour convaincre les victimes d’autoriser le contrôle du bureau à distance via un logiciel légitime, soi-disant pour les aider à annuler leur service d’abonnement sans aucun stress.

Une fois aux commandes de l’ordinateur, l’auteur de la menace arme des outils légitimes tout en prétendant faciliter l’accès au bureau à distance, tout en utilisant des techniques d’ingénierie sociale. Sur une note intéressante, les outils armés étaient auparavant typiques de l’arsenal de Conti.

Une fois cela fait, l’auteur de la menace dispose d’une porte dérobée fonctionnelle vers l’ordinateur de la victime, qui peut ensuite être utilisée pour une exploitation ultérieure (Figure A).

Figure A

Infographie du processus BazarCall basée sur la campagne Jörmungandr menée par l'acteur de la menace Quantum.
Infographie du processus BazarCall basée sur la campagne Jörmungandr menée par l’acteur de la menace Quantum. Image : Adv Intel

Plusieurs acteurs de menaces de ransomwares en jeu

Selon AdvIntel, au moins “trois groupes de menaces autonomes ont adopté et développé indépendamment leurs propres tactiques de phishing ciblées dérivées de la méthodologie de rappel de phishing”.

Lire aussi  Kim Kardashian de plus en plus mince pour Pete Davidson ?

L’attaque de phishing par rappel est fortement liée à Conti, le tristement célèbre acteur de menace de rançongiciel qui a fait irruption dans plusieurs groupes différents en 2021. Les trois groupes de menaces utilisant cette technique d’attaque sont distincts mais connectés.

VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)

Rançon silencieuse, également connue sous le nom de Papillon lunaire, est devenu un groupe autonome lorsque Conti s’est séparé et a fait ses preuves. Selon AdvIntel, Silent Ransom est l’ancêtre de toutes les campagnes de phishing post-Conti actuelles, avec un revenu moyen proche de la barre des 10 milliards de dollars (Figure B).

Figure B

Données sur les revenus cibles pour le groupe de menaces Silent Ransom.
Image : Adv Intel

Les outils légitimes que ce groupe de menaces utilise lors de ses opérations BazarCall sont AnyDesk, Atera, Syncro, SplashTop, Rclone, SoftPerfect Network Scanner ou SharpShares. Leur e-mail de phishing initial usurpe plusieurs services légitimes comme les services Duolingo, Zoho ou MasterClass.

Une autre subdivision de Conti, baptisée Quantum, utilise la technique BazarCall. Cet acteur menaçant s’allie à l’invasion russe en Ukraine et est responsable de la Attaque costaricienne. Selon AdvIntel, ce groupe a beaucoup investi dans l’embauche de spammeurs, de spécialistes OpenSource Intelligence (OSINT), d’opérateurs de centres d’appels et d’intrus sur le réseau. Les chercheurs indiquent qu'”en tant que groupe hautement qualifié (et très probablement affilié au gouvernement), Quantum a pu acheter des ensembles de données de messagerie exclusifs et les analyser manuellement pour identifier les employés concernés dans des entreprises de premier plan”.

Lire aussi  Via SMS : Voici comment Lupita Nyong'o a appris la mort de Chadwick Boseman

Le troisième groupe de menaces utilisant la technique BazarCall est Roy/Zeon. Ses membres ont été à l’origine de la création du Rançongiciel Ryuk. Ce groupe a tendance à cibler uniquement le secteur/l’industrie le plus précieux.

Changer la victimologie

Les chercheurs d’AdvIntel soulignent que le phishing par rappel a radicalement changé la victimologie du ransomware pour les groupes qui l’utilisent (Figure C).

Figure C

Cibles BazarCall par secteur d'activité.
Cibles BazarCall par secteur d’activité. Image : Adv Intel

La nature ciblée de ces campagnes d’attaques a accru les attaques contre la finance, la technologie, le droit et les assurances. Ces quatre industries figuraient dans tous les manuels internes partagés entre les anciens membres de Conti, mais la fabrication semble toujours être l’industrie la plus ciblée.

Pourquoi BazarCall est-il une révolution pour les groupes de menaces de ransomwares ?

Bien qu’il existe une fraude similaire avec les escroqueries au support technique, cette approche consistant à utiliser un centre d’appels pour infecter les ordinateurs n’était auparavant pas utilisée dans les opérations de ransomware.

Les campagnes de ransomwares, la plupart du temps, reposent sur les mêmes schémas d’attaque et changer complètement la méthode d’infection fait sûrement augmenter le taux de réussite de l’infection.

De plus, il suffit d’outils légitimes pour obtenir l’accès initial à l’ordinateur ciblé et pour y accéder ultérieurement. Ces outils ne sont généralement pas signalés comme suspects par les antivirus ou les solutions de sécurité.

Tout cela fait de BazarCall une technique très intéressante pour les opérateurs de ransomwares.

VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)

Lire aussi  Liste de prix pour l'iPhone 13 juillet 2022, Complet : Mini, Pro, à Pro Max, voici les spécifications courtes

Comment se protéger de cette menace ?

Le premier e-mail envoyé par les attaquants devrait déjà éveiller les soupçons. Bien qu’il usurpe l’identité de services légitimes, il est envoyé par des services de messagerie tiers et contient souvent des erreurs dans son contenu ou sa forme.

Le fait qu’il n’y ait qu’un seul moyen d’accéder au service d’abonnement est également suspect, alors que chaque fournisseur de services facilite toujours au maximum la tâche du client qui peut généralement choisir entre plusieurs moyens d’atteindre les gestionnaires de services.

Des solutions de sécurité des e-mails doivent être déployées afin de détecter ces e-mails de phishing, en plus des logiciels antivirus et de sécurité des terminaux.

Aucun utilisateur ne doit jamais fournir un accès au bureau à distance à une personne qui n’est pas vraiment identifiée et digne de confiance. Si cela est fait et que les soupçons augmentent, l’ordinateur doit être immédiatement déconnecté d’Internet, tous les mots de passe des utilisateurs modifiés et une analyse complète avec des solutions antivirus et de sécurité doit être exécutée sur le système. Dans le cas où l’ordinateur suspect est connecté à un réseau d’entreprise, l’administrateur système et l’équipe informatique doivent être immédiatement contactés pour vérifier l’intégralité de l’intégrité du réseau.

L’hygiène de base doit également toujours être respectée : tous les systèmes d’exploitation et logiciels doivent toujours être à jour et corrigés, pour éviter d’être compromis par une vulnérabilité commune.

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT