Un acteur inconnu de la menace a été lié à une cyberattaque contre une entreprise de production d’électricité en Afrique australe avec une nouvelle variante du malware SystemBC appelée DroxiDat en tant que précurseur d’une attaque présumée de ransomware.
« La porte dérobée compatible proxy a été déployée aux côtés de Cobalt Strike Beacons dans l’infrastructure critique d’un pays sud-africain », a déclaré Kurt Baumgartner, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky.
La société russe de cybersécurité a déclaré que l’attaque, qui a eu lieu fin mars 2023, en était à ses débuts et impliquait l’utilisation de DroxiDat pour profiler le système et le trafic réseau proxy en utilisant le protocole SOCKS5 vers et depuis la commande et le contrôle (C2) Infrastructure.
SystemBC est un logiciel malveillant de base basé sur C/C++ et un outil d’administration à distance qui a été vu pour la première fois en 2019. Sa principale caractéristique est de configurer des proxys SOCKS5 sur les ordinateurs des victimes qui peuvent ensuite être utilisés par les acteurs de la menace pour tunneliser le trafic malveillant associé à d’autres logiciels malveillants. Les nouvelles variantes du logiciel malveillant peuvent également télécharger et exécuter des charges utiles supplémentaires.
L’utilisation de SystemBC comme conduit pour les attaques de rançongiciels a été documentée dans le passé. En décembre 2020, Sophos a révélé la dépendance des opérateurs de rançongiciels à SystemBC RAT en tant que porte dérobée Tor prête à l’emploi pour les infections Ryuk et Egregor.
« SystemBC est un outil attrayant dans ces types d’opérations car il permet de travailler sur plusieurs cibles en même temps avec des tâches automatisées, permettant le déploiement sans intervention de ransomware à l’aide d’outils intégrés de Windows si les attaquants obtiennent les informations d’identification appropriées, » avait déclaré la société à l’époque.
Les liens de DroxiDat avec le déploiement de rançongiciels découlent d’un incident lié aux soins de santé impliquant DroxiDat à peu près au même moment où le rançongiciel Nokoyawa aurait été livré avec Cobalt Strike.
Le logiciel malveillant utilisé dans l’attaque est à la fois compact et léger par rapport à SystemBC, supprimant la plupart des fonctionnalités associées à ce dernier pour agir comme un simple profileur de système et exfiltrer les informations vers un serveur distant.
« Il ne fournit aucune capacité de téléchargement et d’exécution, mais peut se connecter à des auditeurs distants et transmettre des données dans les deux sens, et modifier le registre du système », a déclaré Baumgartner.
L’identité des acteurs de la menace à l’origine de la vague d’attaques est actuellement inconnue, bien que les preuves existantes indiquent l’implication probable de groupes de ransomwares russes, en particulier FIN12 (alias Pistachio Tempest), qui est connu pour déployer SystemBC aux côtés de Cobalt Strike Beacons pour déployer des ransomwares.
Cette évolution intervient alors que le nombre d’attaques de ransomwares ciblant les organisations et les infrastructures industrielles a doublé depuis le deuxième trimestre 2022, passant de 125 au deuxième trimestre 2022 à 253 au deuxième trimestre 2023, selon Dragos. Ce chiffre représente également une augmentation de 18 % par rapport au trimestre précédent, lorsque 214 incidents avaient été identifiés.
« Les ransomwares continueront de perturber les opérations industrielles, que ce soit par l’intégration de processus de destruction de technologie opérationnelle (OT) dans les souches de ransomwares, de réseaux aplatis permettant aux ransomwares de se propager dans les environnements OT ou d’arrêts de production préventifs par les opérateurs pour empêcher les ransomwares de se propager au contrôle industriel. systèmes », a évalué l’entreprise avec une grande confiance.
