Une filiale de l’opération de ransomware Yanluowang récemment découverte concentre ses attaques sur les organisations américaines du secteur financier en utilisant le malware BazarLoader au stade de la reconnaissance.
Sur la base des tactiques, techniques et procédures observées, l’acteur de la menace est expérimenté avec les opérations de ransomware-as-a-service (RaaS) et peut être lié au groupe Fivehands.
Connexion au ransomware Fivehands
Des chercheurs de Symantec, une division de Broadcom Software, notent que l’acteur atteint des cibles plus médiatisées aux États-Unis depuis au moins août.
Bien que son intérêt se porte sur les institutions financières, la filiale de Yanluowang ransomware a également ciblé des entreprises des secteurs de la fabrication, des services informatiques, du conseil et de l’ingénierie.
En examinant les tactiques, techniques et procédures (TTP), les chercheurs ont remarqué un lien possible avec des attaques plus anciennes avec le Thieflock, une opération de ransomware développée par le groupe Fivehands.
Le ransomware Fivehands lui-même est relativement nouveau sur la scène, devenant connu en avril – d’abord dans un rapport de Mandiant, qui suit son développeur comme UNC2447, puis dans un alerte de CISA.
À l’époque, Mandiant avait déclaré que l’UNC2447 montrait « des capacités avancées pour échapper à la détection et minimiser les analyses post-intrusion » et que ses filiales avaient déployé le ransomware RagnarLocker.
Symantec note que le lien trouvé entre les récentes attaques Yanluowang et les plus anciennes avec Thieflock est provisoire, car il repose sur plusieurs TTP trouvés dans les attaques de ransomware Fivehands, tels que :
- l’utilisation d’outils de récupération de mot de passe personnalisés et open source (par exemple, GrabFF)
- en utilisant des outils d’analyse réseau open source (par exemple, SoftPerfect Network Scanner)
- utiliser le navigateur S3 et le navigateur Cent pour charger et télécharger des données
« Ce lien soulève la question de savoir si Yanluowang a été développé par Canthroid [a.k.a. Fivehands]. Cependant, l’analyse de Yanluowang et Thieflock ne fournit aucune preuve de paternité partagée. Au lieu de cela, l’hypothèse la plus probable est que ces attaques Yanluowang peuvent être menées par un ancien affilié de Thieflock », le les chercheurs disent.
Outils du métier
Après avoir accédé au réseau cible, l’attaquant utilise PowerShell pour télécharger des outils, tels que le malware BazarLoader, pour faciliter le déplacement latéral.
BazarLoader est livré aux entreprises cibles par le botnet TrickBot, qui diffuse également le ransomware Conti. Plus récemment, les opérateurs de TrickBot ont commencé à aider à reconstruire le botnet Emotet.
L’acteur de menace Yanluowang active le service de bureau à distance (RDP) à partir du registre et installe l’outil ConnectWise pour l’accès à distance.
Les chercheurs disent que l’affilié découvre des systèmes d’intérêt avec l’outil AdFind – pour interroger Active Directory et SoftPerfect Network Scanner – pour trouver des noms d’hôte et des services réseau.
Plusieurs outils sont utilisés pour voler les identifiants des navigateurs (Firefox, Chrome, Internet Explorer) des machines compromises : GrabFF, GrabChrome, BrowserPassView.
Les chercheurs de Symantec ont également remarqué que l’attaquant a utilisé KeeThief pour voler la clé principale du gestionnaire de mots de passe KeePass, un outil de capture d’écran et l’utilitaire d’exfiltration de données Filegrab.
Dans un précédent rapport sur les attaques de Yanluowang, la société a déclaré que les pirates menaçaient d’attaques par déni de service distribué (DDoS) et d’effacement de données si la victime ne se conformait pas aux exigences.
d’aujourd’hui rapport sur la filiale Yanluowang comprend des indicateurs de compromission pour les outils et les logiciels malveillants utilisés dans l’attaque.