Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.
Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.
Microsoft a été piraté par le groupe de hackers LAPSUS$. Ce groupe de pirates a volé le code source de certains produits Microsoft. Le groupe cybercriminel LAPSUS$, célèbre pour avoir publié ses méfaits sur un canal Telegram, a volé des informations et extorqué de l’argent à Nvidia et Samsung le mois dernier. Sa prochaine cible était le géant technologique Microsoft.
Le groupe LAPSUS$ a rendu public via Telegram qu’il disposait du code source de Cortana et de Bing. Ce groupe a publié des informations confidentielles extraites des serveurs d’Ubisoft, Nvidia et Samsung. Ils leur ont également extorqué de l’argent en échange de ne pas rendre publiques les informations qu’ils ont obtenues sur eux. Dans le cas de Nvidia, les attaquants ont demandé quelque chose de très curieux, qu’ils débloquent certains aspects des cartes graphiques de l’entreprise pour les rendre plus adaptées au minage de crypto-monnaies.
Capture d’écran téléchargée par le groupe sur le canal Telegram de LAPSUS$.
Une capture d’écran de ce qui semblait être un accès au compte interne d’un développeur Microsoft est apparue sur le canal Telegram de LAPSUS$ dimanche. Cette capture d’écran semble provenir d’Azure DevOps. Le projet montré dans l’image mettait en évidence des dossiers portant les noms Bing_UX, Bing-Source, Cortana ; ce qui a fait naître des soupçons quant à l’accès à l’expérience utilisateur du moteur de recherche de Microsoft, au code source et au code de l’assistant intelligent du géant technologique. Cette image n’a été publique sur la chaîne Telegram du groupe que pendant quelques heures et a été supprimée par l’un des administrateurs de la chaîne. À sa place, on peut trouver le message « Supprimé pour l’instant, sera reposté plus tard ».
Capture d’écran du canal Telegram de LAPSUS$.
Depuis, Microsoft a mené une enquête à ce sujet. Il y a quinze jours, le groupe LAPSUS$ a posté sur le même canal qu’il recrutait des employés initiés. Ils ont indiqué qu’ils recherchaient un VPN ou un accès au bureau à distance pour de grandes entreprises dans différents secteurs. Dans ce message, ils mentionnent des entreprises de télécommunications, des entreprises de jeux vidéo ou de logiciels telles que IBM, Apple, EA ou Microsoft, etc. Cela peut être considéré comme une déclaration d’intention visant à découvrir les prochaines cibles du groupe cybercriminel.
Capture d’écran du canal Telegram de LAPSUS$.
Microsoft s’exprime sur l’attaque
Selon les dernières informations communiquées par Microsoft, aucune donnée client n’a été divulguée. Microsoft lui-même publie dans son blog que le groupe LAPSUS$ n’a compromis qu’un seul compte qui avait des autorisations d’accès limitées. En outre, ils soulignent que les équipes de réponse aux incidents ont agi rapidement pour éviter des problèmes majeurs.
Après avoir fait un retour en force en novembre de l’année dernière, Emotet montre à nouveau une croissance régulière dans l’infection des ordinateurs, accumulant plus de 100 000 hôtes infectés.
Selon des recherches récentes, Emotet n’a pas atteint l’ampleur qu’il avait autrefois, bien qu’il montre une forte résurgence après l’interruption de 10 mois en 2021. Depuis novembre, 130 000 hôtes répartis dans 179 pays ont été infectés.
Avant le démantèlement de janvier 2021, ce logiciel malveillant avait infecté 1,6 million d’appareils dans le monde. Emotet a permis aux cybercriminels d’installer des chevaux de Troie bancaires ou des ransomwares sur les systèmes compromis.
La résurrection de ce logiciel malveillant aurait été menée par le groupe Conti lui-même, utilisant Trickbot comme moyen de distribution, dans le but de changer de tactique pour échapper à la surveillance des activités malveillantes des forces de l’ordre.
Les chercheurs de Black Lotus Labs soulignent que l’ajout de bots n’a pas vraiment commencé pour de bon avant janvier 2022, où de nouvelles variantes ont modifié le schéma de chiffrement RSA, brouillant le trafic réseau. Ils peuvent également recueillir des informations allant au-delà de la liste des processus en cours sur les machines infectées.
Actuellement, le botnet compte près de 200 domaines de commande et de contrôle (C2), dont la plupart sont situés aux États-Unis, en Allemagne, au Brésil, en Thaïlande et en Inde. D’autre part, la plupart des bots infectés se trouvent en Asie, principalement au Japon, en Inde et en Chine.
« La croissance et la distribution des bots sont un indicateur important des progrès réalisés par Emotet dans le rétablissement de son infrastructure autrefois très étendue. Chaque bot est un point d’appui potentiel pour un réseau convoité et présente une opportunité de déployer Cobalt Strike ou d’être éventuellement promu au rang de bot C2 ».
Des chercheurs de l’équipe VUSec, en collaboration avec Intel, ont découvert une nouvelle variante de Spectre. Cette variante, a été nommée Spectre-BHB. Cette nouvelle variante échappe aux mesures d’atténuation mises en place contre Spectre v2.
Spectre est une vulnérabilité qui a affecté une grande partie des microprocesseurs avec prédiction de branchement. Spectre a été divulgué au début de l’année 2018. L’exploit original de Spectre permettait à un attaquant de récupérer des données sensibles dans le cache d’un ordinateur.
Avec Spectre v2, le noyau pouvait être amené à exécuter des instructions injectées dans le cache. Pour ce faire, il était nécessaire de s’attaquer au moteur de prédiction de branchement pour l’exécution spéculative de ces instructions. La méthode d’attaque a été baptisée BTI (Branch Target Injection). Pour atténuer cette exécution, une restriction a été créée pour empêcher l’exécution d’instructions en cache à partir d’un niveau de privilège inférieur.
Spectre-BHB
Spectre-BHB parvient à échapper aux mesures d’atténuation prises pour Spectre v2 en utilisant une nouvelle attaque appelée BHI (Branch History Injection). Cette attaque consiste à empoisonner l’historique d’exécution pour forcer le noyau à exécuter certaines opérations sensibles. Cela ouvre la porte à une multitude d’attaques.
L’équipe de recherche VUSec a produit une vidéo de démonstration du concept. Dans ce cas, les informations d’identification de la racine du système sont obtenues en exploitant cette vulnérabilité :
L’équipe VUSec affirme que tout processeur affecté par Spectre v2 est susceptible d’être affecté par cette attaque. Cela inclut une large gamme de microprocesseurs Intel et ARM. Les deux fabricants ont publié une note contenant une liste des microprocesseurs concernés.
Mais il n’y a pas que des mauvaises nouvelles. Des mesures d’atténuation pour Spectre-BHB existent déjà. Elles sont déployées dans les versions du noyau Linux à partir de la version 5.16. En outre, ARM a publié des correctifs pour Linux et Trusted Firmware-A et a publié un ensemble de directives pour que les autres fournisseurs puissent créer leur propre correctif.
Suite au leak des chats du groupe ransomware Conti, Brian Krebs a publié sur son site une analyse des informations les plus juteuses qui en ont été extraites. Je vous fais écho de ces informations ici, mais je vous recommande vivement la lecture des articles originaux de l’auteur.
Démantèlement de Trickbot et récupération de Conti
En septembre 2022, l’Agence nationale de sécurité (NSA) a lancé une opération de grande envergure pour démanteler le botnet Trickbot. Ce réseau a été utilisé par Conti, entre autres, pour diffuser ses attaques de ransomware.
L’agence américaine a réussi à prendre le contrôle du réseau en déconnectant les nœuds des serveurs utilisés pour le contrôler. Les chats du groupe Conti révèlent des informations sur cette action de la NSA.
L’un des dirigeants de Conti, identifié par le pseudo « Hof », a commenté le sabotage du réseau. Selon son analyse, l’agence américaine doit avoir eu accès au code source du bot ou l’avoir obtenu par reverse engineering. Les bots étaient configurés de telle sorte qu’ils continuaient à fonctionner mais n’effectuaient aucune des actions pour lesquelles ils avaient été conçus. Ils ont également été empêchés de se réparer automatiquement ou de télécharger une nouvelle mise à jour qui modifierait la configuration fournie.
Malheureusement, après plusieurs semaines, le groupe Conti a réussi à reconstruire son infrastructure de logiciels malveillants et a décidé de contre-attaquer en infectant 428 hôpitaux aux États-Unis dans le but de semer la panique. Au lendemain de l’attaque, le FBI et le ministère de la sécurité intérieure ont été contraints d’organiser une conférence d’urgence avec l’industrie médicale pour faire face à la menace imminente.
La collaboration de la Russie et la chute de REvil
Les chats divulgués par ContiLeaks témoignent de la demande de coopération du FBI auprès des autorités russes. Il semble que l’objectif du FBI était d’arrêter les criminels à l’origine du botnet Trickbot. Cependant, selon des conversations internes au groupe, les autorités russes n’avaient pas vraiment l’intention de coopérer.
L’enquête a d’abord été abandonnée, puis réactivée. Toutefois, lorsqu’elle a été réactivée, l’enquête s’est concentrée sur le principal concurrent de Conti, le groupe de logiciels malveillants REvil. En janvier de cette année, le gouvernement russe a annoncé l’arrestation de 14 personnes liées à ce groupe. Selon les autorités, cette opération a été menée en réponse à une demande des responsables américains mais, comme on peut le voir, ce n’est pas tout à fait exact.
Structure et gestion interne de Conti
La publication des chats du groupe Conti révèlent de nombreuses informations sur le fonctionnement interne du groupe. Personne ne s’étonne que, compte tenu de l’ampleur des opérations qu’ils réalisent, leur structure ressemble de près à celle de toute entreprise de taille moyenne.
Selon les chats, un salaire de base de 2 000 dollars serait offert aux nouveaux membres embauchés, mais les employés seraient payés entre 5.000 et 10.000 dollars, en fonction de leur productivité. Chaque travailleur se verrait attribuer une semaine de travail de cinq jours, les semaines étant réparties de manière à ce qu’il y ait un minimum de personnel disponible 24 heures sur 24 pour répondre aux besoins de maintenance des botnets ou aux négociations entamées avec les victimes de ransomware.
Malgré le fait que Conti soit un groupe à fort impact et très efficace, l’analyse des conversations révèle un certain air de désorganisation et un manque de coordination interne, certains nœuds de botnet étant perdus faute d’avoir trouvé les ressources nécessaires dans les portefeuilles virtuels en prévision des paiements pour maintenir les VPN ou les serveurs nécessaires à la continuité de leurs opérations.
Outils OSINT
Selon le rapport Chainalysis, les bénéfices du groupe en 2021 seraient d’environ 180 millions de dollars. Conti est donc de loin le groupe de ransomware le plus performant en activité. Les leaks de chats permettent d’estimer que le nombre d’employés de l’organisation oscille entre 65 et 100 personnes. L’investissement dans les outils de sécurité et les anti-virus est très élevé. Ceux-ci sont utilisés non seulement pour les tests de détection de leurs ransomwares, mais aussi comme mesure de protection interne.
Estimation des revenus des gangs de ransomware. Source Chainalysis
En outre, des conversations sont enregistrées sur la surveillance imposée aux administrateurs, validant leur activité sur les serveurs internes. Il s’agit de vérifier qu’aucune opération susceptible de mettre en péril la continuité ou la sécurité de l’opération n’est en cours. Cela provoque de nombreuses frictions entre les différents membres du groupe.
L’investissement de Conti dans les outils de renseignement Open Source (OSINT) est particulièrement remarquable. Des abonnements à Crunchbase Pro ou autre Zoominfo, fournissent des informations précieuses à l’organisation, telles que les montants assurés de plusieurs entreprises, une estimation de leurs bénéfices et les coordonnées des dirigeants et des membres du conseil d’administration.
En outre, le groupe utilise de multiples outils pour déterminer les entreprises qui se cachent derrière certaines plages d’adresses IP, si un VPN est lié à une certaine adresse IP ou non. Cela est crucial pour ses opérations, car le botnet utilisé accède à un grand nombre de systèmes, et il doit donc donner la priorité à ceux qui se trouvent dans le réseau des grandes entreprises.
Outils de pentesting et contacts divers
L’acquisition d’une licence de Cobalt Strike est également extraite des conversations de Conti. Cet outil commercial de test de pénétration n’est vendu qu’à certaines entreprises selon des critères stricts. Selon les informations examinées, le coût d’acquisition de la licence est estimé à 60.000 USD. La moitié de cette somme couvrirait le prix de l’outil, tandis que le reste irait à une entreprise légitime qui effectuerait l’achat.
En outre, des informations ont été trouvées sur des paiements versés à un journaliste et à des employés d’entreprises participant à la récupération de systèmes après une attaque par ransomware. Ainsi, Conti aurait une certaine influence dans les médias pour faire pression sur les victimes et les forcer à payer. Les employés chargés du recouvrement feraient office de négociateurs entre Conti et les entreprises victimes. L’organisation aurait alors l’assurance d’obtenir le maximum de l’entreprise extorquée en ayant à sa solde, un contact à l’interne.
Conti et la fièvre crypto
Les importantes sommes d’argent que le groupe Conti déplace lui permettent de réaliser des actions qui ne sont pas accessibles aux autres, comme faire varier à volonté la valeur de certaines crypto-monnaies. Dans une discussion intéressante entre les membres du groupe, il est question d’une opération massive visant à gonfler une crypto-monnaie qui rapporterait des bénéfices importants à l’organisation. Bien qu’il ne soit pas mentionné quelle plate-forme serait affectée, les dates semblent coïncider avec l’effondrement de la crypto Squid.
Les membres de Conti montrent également un grand intérêt pour la création de projets liés aux smart contracts. Cette approche n’est pas du tout farfelue, puisque des études ont déjà été réalisées sur l’impact « positif » qu’elles auraient sur les opérations de ransomware. Grâce à ces contrats, les victimes peuvent vérifier qu’elles recevront bien ce pour quoi elles ont accepter de payer si elles effectuent le paiement requis.
En résumé, les fuites de ContiLeaks ont fourni des informations très intéressantes sur le fonctionnement interne du plus grand groupe de ransomware actif. Reste à savoir s’il le restera après avoir vu toutes ses informations exposées, apparemment par un analyste ukrainien qui a décidé d’attaquer l’organisation après qu’elle ait publiquement affiché son soutien au gouvernement russe.
