AdvIntel a publié une nouvelle publication sur plusieurs acteurs de la menace utilisant désormais BazarCall dans le but de sensibiliser à cette menace.
Qu’est-ce que BazarCall et comment ça marche ?
BazarCall, également connu sous le nom de call back phishing, est une méthode utilisée par les cybercriminels pour cibler les victimes via un phishing élaboré.
Tout commence par un email, comme c’est souvent le cas. L’auteur de la menace envoie des e-mails d’apparence légitime aux cibles, prétendant qu’elles ont souscrit à un service avec paiement automatique. L’e-mail contient un numéro de téléphone au cas où la cible voudrait annuler l’abonnement et éviter de le payer. Il n’y a pas d’autre moyen d’accéder au service d’abonnement que de passer un appel téléphonique.
Lorsque les victimes appellent le numéro de téléphone contrôlé par l’auteur de la menace, diverses méthodes d’ingénierie sociale sont utilisées pour convaincre les victimes d’autoriser le contrôle du bureau à distance via un logiciel légitime, soi-disant pour les aider à annuler leur service d’abonnement sans aucun stress.
Une fois aux commandes de l’ordinateur, l’auteur de la menace arme des outils légitimes tout en prétendant faciliter l’accès au bureau à distance, tout en utilisant des techniques d’ingénierie sociale. Sur une note intéressante, les outils armés étaient auparavant typiques de l’arsenal de Conti.
Une fois cela fait, l’auteur de la menace dispose d’une porte dérobée fonctionnelle vers l’ordinateur de la victime, qui peut ensuite être utilisée pour une exploitation ultérieure (Figure A).
Figure A
Plusieurs acteurs de menaces de ransomwares en jeu
Selon AdvIntel, au moins “trois groupes de menaces autonomes ont adopté et développé indépendamment leurs propres tactiques de phishing ciblées dérivées de la méthodologie de rappel de phishing”.
L’attaque de phishing par rappel est fortement liée à Conti, le tristement célèbre acteur de menace de rançongiciel qui a fait irruption dans plusieurs groupes différents en 2021. Les trois groupes de menaces utilisant cette technique d’attaque sont distincts mais connectés.
VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)
Rançon silencieuse, également connue sous le nom de Papillon lunaire, est devenu un groupe autonome lorsque Conti s’est séparé et a fait ses preuves. Selon AdvIntel, Silent Ransom est l’ancêtre de toutes les campagnes de phishing post-Conti actuelles, avec un revenu moyen proche de la barre des 10 milliards de dollars (Figure B).
Figure B
Les outils légitimes que ce groupe de menaces utilise lors de ses opérations BazarCall sont AnyDesk, Atera, Syncro, SplashTop, Rclone, SoftPerfect Network Scanner ou SharpShares. Leur e-mail de phishing initial usurpe plusieurs services légitimes comme les services Duolingo, Zoho ou MasterClass.
Une autre subdivision de Conti, baptisée Quantum, utilise la technique BazarCall. Cet acteur menaçant s’allie à l’invasion russe en Ukraine et est responsable de la Attaque costaricienne. Selon AdvIntel, ce groupe a beaucoup investi dans l’embauche de spammeurs, de spécialistes OpenSource Intelligence (OSINT), d’opérateurs de centres d’appels et d’intrus sur le réseau. Les chercheurs indiquent qu'”en tant que groupe hautement qualifié (et très probablement affilié au gouvernement), Quantum a pu acheter des ensembles de données de messagerie exclusifs et les analyser manuellement pour identifier les employés concernés dans des entreprises de premier plan”.
Le troisième groupe de menaces utilisant la technique BazarCall est Roy/Zeon. Ses membres ont été à l’origine de la création du Rançongiciel Ryuk. Ce groupe a tendance à cibler uniquement le secteur/l’industrie le plus précieux.
Changer la victimologie
Les chercheurs d’AdvIntel soulignent que le phishing par rappel a radicalement changé la victimologie du ransomware pour les groupes qui l’utilisent (Figure C).
Figure C
La nature ciblée de ces campagnes d’attaques a accru les attaques contre la finance, la technologie, le droit et les assurances. Ces quatre industries figuraient dans tous les manuels internes partagés entre les anciens membres de Conti, mais la fabrication semble toujours être l’industrie la plus ciblée.
Pourquoi BazarCall est-il une révolution pour les groupes de menaces de ransomwares ?
Bien qu’il existe une fraude similaire avec les escroqueries au support technique, cette approche consistant à utiliser un centre d’appels pour infecter les ordinateurs n’était auparavant pas utilisée dans les opérations de ransomware.
Les campagnes de ransomwares, la plupart du temps, reposent sur les mêmes schémas d’attaque et changer complètement la méthode d’infection fait sûrement augmenter le taux de réussite de l’infection.
De plus, il suffit d’outils légitimes pour obtenir l’accès initial à l’ordinateur ciblé et pour y accéder ultérieurement. Ces outils ne sont généralement pas signalés comme suspects par les antivirus ou les solutions de sécurité.
Tout cela fait de BazarCall une technique très intéressante pour les opérateurs de ransomwares.
VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)
Comment se protéger de cette menace ?
Le premier e-mail envoyé par les attaquants devrait déjà éveiller les soupçons. Bien qu’il usurpe l’identité de services légitimes, il est envoyé par des services de messagerie tiers et contient souvent des erreurs dans son contenu ou sa forme.
Le fait qu’il n’y ait qu’un seul moyen d’accéder au service d’abonnement est également suspect, alors que chaque fournisseur de services facilite toujours au maximum la tâche du client qui peut généralement choisir entre plusieurs moyens d’atteindre les gestionnaires de services.
Des solutions de sécurité des e-mails doivent être déployées afin de détecter ces e-mails de phishing, en plus des logiciels antivirus et de sécurité des terminaux.
Aucun utilisateur ne doit jamais fournir un accès au bureau à distance à une personne qui n’est pas vraiment identifiée et digne de confiance. Si cela est fait et que les soupçons augmentent, l’ordinateur doit être immédiatement déconnecté d’Internet, tous les mots de passe des utilisateurs modifiés et une analyse complète avec des solutions antivirus et de sécurité doit être exécutée sur le système. Dans le cas où l’ordinateur suspect est connecté à un réseau d’entreprise, l’administrateur système et l’équipe informatique doivent être immédiatement contactés pour vérifier l’intégralité de l’intégrité du réseau.
L’hygiène de base doit également toujours être respectée : tous les systèmes d’exploitation et logiciels doivent toujours être à jour et corrigés, pour éviter d’être compromis par une vulnérabilité commune.
Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.
