Une cybermenace émergente
Dans le paysage en constante évolution des menaces de cybersécurité, le groupe connu sous le nom de Crypt Ghouls est devenu une source importante d'inquiétude. Ce groupe de cybercriminels nouvellement identifié cible activement les entreprises et les agences gouvernementales russes, avec une spécialisation dans son approche par le biais d'attaques par ransomware. Ses victimes comprennent des entités essentielles dans de nombreux secteurs tels que l'exploitation minière, l'énergie, la finance et la vente au détail, ce qui met en évidence le large spectre de leurs opérations. L'activité de Crypt Ghouls souligne le besoin croissant de mesures de cybersécurité robustes pour contrer de manière préventive ces menaces sophistiquées.
Ransomware et techniques d'accès initial
Les Crypt Ghouls ont notamment utilisé des variantes de ransomware bien connues, notamment LockBit 3.0 pour les environnements Windows et Babuk pour les systèmes Linux/ESXi. Cette utilisation stratégique de divers ransomwares leur permet de crypter des données critiques et de perturber considérablement les opérations commerciales. Dans plusieurs cas, ils ont effectivement obtenu un accès initial grâce à des identifiants de connexion compromis. Leur point d'entrée consiste généralement à utiliser des connexions VPN facilitées par le réseau d'un fournisseur d'hébergement russe ou par des réseaux de sous-traitants exploités, démontrant ainsi leur aptitude à exploiter les vulnérabilités de sécurité courantes pour infiltrer des environnements sécurisés.
En plus de ces tactiques de ransomware, Crypt Ghouls utilise une panoplie d'outils sophistiqués pour consolider davantage leur présence au sein des réseaux compromis. Parmi les outils qu'ils emploient figurent Mimikatz, XenAllPasswordPro et des utilitaires tels qu'AnyDesk et PsExec, tous conçus pour des objectifs variés, notamment la collecte d'informations d'identification, la reconnaissance du réseau et le maintien d'un accès à distance non détecté.
Tactiques de domination du réseau
Les Crypt Ghouls sont passés maîtres dans l’utilisation d’outils de collecte d’informations d’identification. Parmi leur arsenal, Mimikatz se distingue comme un puissant utilitaire d’extraction de données d’authentification. De plus, ils utilisent XenAllPasswordPro et un script personnalisé appelé dumper.ps1 pour extraire les informations d’identification stockées dans les navigateurs Web tels que Google Chrome et Microsoft Edge. Ce vol d’informations d’identification ciblé met l’accent sur leur intention d’obtenir un accès plus profond aux réseaux et aux systèmes, amplifiant ainsi le potentiel de dommages.
Les compétences du groupe ne se limitent pas à la collecte d'informations d'identification. Ils sont également experts en reconnaissance de réseau. Des outils tels que PingCastle et SoftPerfect Network Scanner leur permettent de cartographier l'infrastructure réseau d'une cible. Cela leur permet d'identifier les ports ouverts critiques et les partages réseau, élaborant ainsi un plan stratégique pour leurs activités invasives au sein du réseau.
Maintenir la persévérance et la collaboration
Une fois bien ancrés dans un réseau, les Crypt Ghouls font preuve d'une persistance remarquable. Ils utilisent des utilitaires comme NSSM et Localtonet pour gérer les services sur le système hôte et créer des tunnels cryptés, garantissant un accès à distance continu malgré les mesures défensives que les victimes peuvent employer. Ces tactiques révèlent l'engagement du groupe à maintenir une présence à long terme dans les environnements compromis, ce qui pose des défis importants aux défenseurs.
De plus, les activités de Crypt Ghouls illustrent une collaboration potentielle ou un partage de ressources avec d’autres groupes d’acteurs malveillants qui ciblent des entités russes, tels que MorLock, BlackJack, Twelve et Shedding Zmiy. Ce chevauchement des outils et des tactiques complique l’identification et l’atténuation de leurs menaces. En fin de compte, leur évolution continue et la possibilité d’alliances avec d’autres factions cybercriminelles obligent les professionnels de la cybersécurité du monde entier à rester vigilants et à s’adapter dans leurs stratégies de défense.