Les acteurs malveillants exploitent des serveurs Microsoft SQL (MS SQL) mal sécurisés pour diffuser Cobalt Strike et une souche de ransomware appelée FreeWorld.
La société de cybersécurité Securonix, qui a baptisé la campagne DB#JAMMERa déclaré qu’il se démarque par la manière dont l’ensemble d’outils et l’infrastructure sont utilisés.
« Certains de ces outils incluent des logiciels d’énumération, des charges utiles RAT, des logiciels d’exploitation et de vol d’informations d’identification, et enfin des charges utiles de ransomware », ont déclaré les chercheurs en sécurité Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans une analyse technique de l’activité.
« La charge utile du ransomware de choix semble être une variante plus récente du ransomware Mimic appelée FreeWorld. »
L’accès initial à l’hôte victime est obtenu en forçant brutalement le serveur MS SQL, en l’utilisant pour énumérer la base de données et en exploitant l’option de configuration xp_cmdshell pour exécuter des commandes shell et effectuer une reconnaissance.
L’étape suivante consiste à prendre des mesures pour altérer le pare-feu du système et établir la persistance en se connectant à un partage SMB distant pour transférer des fichiers vers et depuis le système victime ainsi qu’en installant des outils malveillants tels que Cobalt Strike.
Ceci, à son tour, ouvre la voie à la distribution du logiciel AnyDesk pour finalement pousser le ransomware FreeWorld, mais pas avant d’avoir effectué une étape de mouvement latéral. Les attaquants inconnus auraient également tenté en vain d’établir la persistance du RDP via Ngrok.
« L’attaque a initialement réussi grâce à une attaque par force brute contre un serveur MS SQL », ont expliqué les chercheurs. « Il est important de souligner l’importance de mots de passe forts, en particulier sur les services exposés publiquement. »
Cette révélation intervient alors que les opérateurs du ransomware Rhysida ont fait 41 victimes, dont plus de la moitié se trouvent en Europe.
Rhysida est l’une des souches de ransomware naissantes apparues en mai 2023, adoptant une tactique de plus en plus populaire consistant à chiffrer et à exfiltrer les données sensibles des organisations et à menacer de divulguer les informations si les victimes refusent de payer.
Cela fait également suite à la sortie d’un décrypteur gratuit pour un ransomware appelé Key Group en raison de plusieurs erreurs cryptographiques dans le programme. Le script Python ne fonctionne cependant que sur des échantillons compilés après le 3 août 2023.
« Le ransomware Key Group utilise une clé statique codée en base64 N0dQM0I1JCM= pour crypter les données des victimes », a déclaré la société néerlandaise de cybersécurité EclecticIQ dans un rapport publié jeudi.
« L’acteur malveillant a tenté d’augmenter le caractère aléatoire des données chiffrées en utilisant une technique cryptographique appelée salage. Le sel était statique et utilisé pour chaque processus de chiffrement, ce qui pose une faille importante dans la routine de chiffrement. »
L’année 2023 a été marquée par une augmentation record des attaques de ransomwares après une accalmie en 2022, même si le pourcentage d’incidents ayant entraîné le paiement par la victime est tombé à un niveau record de 34 %, selon les statistiques partagées par Coveware en juillet 2023.
En revanche, le montant moyen des rançons payées a atteint 740 144 dollars, en hausse de 126 % par rapport au premier trimestre 2023.
Les fluctuations des taux de monétisation se sont accompagnées du fait que les acteurs de la menace de ransomware ont continué à faire évoluer leur stratégie d’extorsion, notamment en partageant des détails sur leurs techniques d’attaque pour montrer pourquoi leurs victimes ne sont pas éligibles à une cyber-assurance.
« Snatch affirme qu’ils divulgueront des détails sur la manière dont les attaques contre les victimes non payantes ont réussi dans l’espoir que les assureurs décideront que les incidents ne devraient pas être couverts par un ransomware d’assurance », a déclaré Brett Callow, chercheur en sécurité chez Emsisoft, dans un message partagé sur X (anciennement Twitter). ) le mois dernier.
