Comprendre les ransomwares Space Bears et Lexus

La cybersécurité est un domaine en constante évolution, et les menaces de ransomwares ne cessent de se diversifier. Parmi les plus récents et préoccupants, on trouve Space Bears et Lexus, deux variantes qui partagent des racines communes avec le redoutable ransomware Phobos. Ces nouveaux venus ne se distinguent pas seulement par leur capacité à chiffrer les données des victimes, mais utilisent également d’autres tactiques agressives pour extorquer de l’argent. En se familiarisant avec les tactiques employées par Space Bears et Lexus, chacun peut améliorer ses défenses numériques. S’armer de connaissances et adopter des pratiques sécuritaires robustes est la clé pour garder une longueur d’avance sur ces menaces sophistiquées.

Les origines et l’évolution du ransomware Phobos

L’émergence de Phobos

Depuis mai 2018, le ransomware Phobos a accumulé des victimes à travers le monde. Apparu comme une menace sérieuse il y a déjà quelques années, il cible historiquement surtout les petites et moyennes entreprises grâce à des protocoles Remote Desktop Protocol (RDP) vulnérables. Les cybercriminels exploitent ces failles de sécurité pour infiltrer les systèmes avant de chiffrer les fichiers et exiger une rançon. Variant du rançongiciel Dharma autrefois répandu, Phobos est déployé sous une opération de RaaS, avec des versions du malware licenciées à des équipes distinctes pour extorquer des victimes et offrir aux opérateurs RaaS une part des bénéfices.

Caractéristiques et fonctionnement

Phobos se distingue par sa capacité à chiffrer non seulement les fichiers locaux mais aussi ceux partagés en réseau. En plus de cela, ce ransomware désactive les pare-feux et efface les copies de sauvegarde en volume pour compliquer la récupération des données sans payer la rançon. Il assure une persistance dans le système infecté en se dupliquant dans certains répertoires et en s’enregistrant avec des clés spécifiques dans le registre Windows. Des variants de Phobos sont aussi fréquemment utilisé dans d’autres ransomwares comme 8base et de nouveau variants, ou soupçonnés comme tels, apparaissent sporadiquement. On peut en effet légitimement le supposer que c’est aussi le cas pour Space Bears et Lexus. Selon une enquête de TrendMicro pour le premier trimestre 2024 et publiée en mai 2024 le ransomware 8Base “a été observé en train d’utiliser la version 2.9.1 du ransomware Phobos. Cette version utilise SmokeLoader pour l’obscurcissement initial de l’entrée, du déballage et du chargement de la charge utile”.

Familles de ransomware en nombre de machines par mois pour le premier trimestre 2024
Familles de ransomware en nombre de machines par mois pour le premier trimestre 2024, en termes de détection de fichiers Source : Trend Micro

Anatomie de Lexus ransomware

Identification et signification des extensions

Le ransomware Lexus est une menace sérieuse pour la sécurité des données personnelles et professionnelles. Découvert récemment, ce malware a pour objectif de chiffrer vos fichiers et d’exiger une rançon pour les déverrouiller. Lexus appartient à la famille des ransomwares Phobos, connue pour sa capacité à désactiver les pare-feux et à effacer les “copies d’ombre”(Shadow Copy ). Quand Lexus renomme les fichiers, il ajoute une extension spécifique qui inclut l’identifiant de la victime, une adresse email (), et l’extension .Lexus. Cette méthode permet aux opérateurs de tracer facilement les victimes et de centraliser les demandes de rançon.

Lexus capture ecran fichiers chiffrés
Capture d’écran des fichiers chiffrés par Lexus – Source PCrisk

Le message de rançon

Le message laissé par Lexus informe les victimes que leurs données ont été à la fois chiffrées et téléchargées. Ce message promet également que les données seront supprimées après le paiement, cependant, si aucune réponse n’est reçue sous deux jours, les données seront vendues à des parties intéressées.

Conseils en cas d’infection

Il est fortement déconseillé de payer la rançon. Les hackers peuvent ne jamais fournir les outils de déchiffrement promis. Pour se prémunir contre les pertes financières et de données, il est recommandé de maintenir des copies de sauvegarde des fichiers importants sur un serveur distant ou sur un dispositif de stockage déconnecté. Sachez par ailleurs que lorsque vos fichiers sont devenus inaccessibles, il est bien souvent possible de les confier à des entreprises spécialisées dans la récupération de données chiffrés comme SOS Ransomware.

La stratégie de double extorsion de Space Bears

Une apparition récente

Space Bears est un nouveau nom dans l’univers des ransomwares. En avril 2024, l’équipe Cyber Threat Intelligence de S-RM a identifié un nouvel opérateur affilié au groupe de rançongiciel Phobos en tant que service (RaaS), utilisant un nouveau site de fuite, intitulé « Space Bears », pour extorquer une victime en échange d’un paiement de rançon. L’apparition de ce site suit d’autres observations d’opérateurs utilisant le site de fuite 8Base comme lieu de publication des données des victimes.

Les Space Bears  ont attiré l’attention avec une série d’attaques en 2024, touchant au moins sept victimes lors de leur première vague. Les informations sur cette organisation sont limitées, mais leur approche semble déjà efficace et intimidante.Le groupe Space Bears a rapidement gagné en notoriété grâce à son site de fuites de données à thème d’entreprise et à ses alliances stratégiques. Leur alignement stratégique avec Phobos démontre leur capacité et leur portée, suggérant un haut niveau d’organisation et un soutien financier potentiellement important, indiquant un réseau cybercriminel international bien coordonné.

Space Bears annonce d'attaques par DarkWe Informer sur X - Capture d'écran
Capture d”écran Dark Web Informer sur X – Source @DarkWebInformer

Double extorsion : une pression accrue sur les victimes

La principale technique utilisée par Space Bears est la double extorsion. Non seulement ils chiffrent les données, mais ils menacent de publier celles-ci si la rançon n’est pas payée. Les Space Bears utilisent également un « mur de la honte » pour humilier publiquement les victimes, ajoutant ainsi une pression supplémentaire et un risque pour la réputation augmentant ainsi les chances de recevoir un paiement.

Capture d'écran du mur de la honte de Space Bears
Mur de la honte de Space Bears – Source RansomLook

Résister à la tentation de négocier

Comme avec Lexus, il est conseillé de ne pas céder aux demandes de rançon. Cela peut encourager davantage d’attaques. Il est primordial de renforcer ses défenses contre les cyber-menaces plutôt que de financer ces cybercriminels.

Mécanismes de distribution courants

Vulnérabilité du Remote Desktop Protocol (RDP)

Les RDP restent une cible privilégiée pour les distributeurs de ransomwares comme Lexus et Space Bears, c’est une des part(particularité des ransomwares issus de Phobos. Les cybercriminels cherchent activement des points faibles dans ces services pour pénétrer les réseaux et déployer leurs attaques.

Emails malveillants

Un autre vecteur classique mais toujours efficace est l’utilisation d’emails contenant des liens ou des pièces jointes malveillantes. Éduquer les employés sur les risques associés aux emails suspects reste crucial pour prévenir les infections. Le phishing demeure une menace constante et ses messages deviennent de plus en plus élaborés rendant leur détection encore plus difficile, alors prudence !

Préventions et mesures de protection

La menace constante de vol de données par les ransomwares nécessite que les organisations priorisent la sécurisation des données sensibles pour limiter les impacts commerciaux suite à un incident impliquant une perte de données. Nous recommandons la mise en œuvre des mesures suivantes pour se protéger contre l’impact du vol de données :

  • Maintenir des sauvegardes régulières, gardez des copies de sauvegarde de vos fichiers essentiels hors ligne ou sur des serveurs éloignés. Cela vous permettra de restaurer les données sans avoir à payer une rançon.
  • Chiffrer les données sensibles en transit et au repos pour prévenir l’accès non autorisé, dans le cas où des données sensibles seraient interceptées par un tiers.
  • Renforcer la sécurité des RDP, assurez-vous que votre accès RDP est sécurisé par des politiques strictes, incluant l’utilisation de mots de passe forts et l’authentification multi-facteurs. Il est important de scanner et surveiller régulièrement les ports RDP qui peuvent avoir été ouverts par accident ou à cause de mauvaises configurations.
  • Mettre en place des politiques de gouvernance des données robustes. Souvent, les entreprises ne sont pas conscientes de la quantité de données obsolètes encore disponibles dans leur système, de vieux dossiers d'(ex-)employés ou clients par exemple. Supprimer périodiquement ces données devenues inutiles et mettre en place une politique de rétention des données réduit déjà une partie de l’impact d’un vol de données.
  • Installer un EDR (Endpoint Detection and Response) sur l’ensemble des systèmes. Cela permettra de détecter rapidement toute activité suspecte ou malveillante et d’y apporter une réponse rapide.
  • Formation continue et sensibilisation, investir dans la formation des employés sur les menaces numériques et les bonnes pratiques de sécurité peut significativement réduire les risques d’infection.

En conclusion, bien que Lexus et Space Bears et tous les ransomwares de la famille de Phobos représentent des menaces sérieuses dans le domaine des ransomwares, des mesures proactives peuvent aider à minimiser les risques. La compréhension des chemins d’attaque et le renforcement des défenses restent les meilleures stratégies pour se protéger contre ces nouvelles formes de cybercriminalité.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *