Les chercheurs d’ESET ont publié en septembre 2024 un rapport sur le regain d’activité du groupe de ransomware CosmicBeetle. Actif depuis 2020, ce groupe revient avec une nouvelle campagne visant les petites et moyennes entreprises (PME) à travers l’Europe et l’Asie. Leur arme ? Un ransomware nommé ScRansom qui tire parti de failles de sécurité non patchées pour chiffrer les données des victimes et leur extorquer de l’argent. Ce malware, bien que pas encore au sommet en termes de sophistication, cause pourtant des dommages considérables. Initialement, CosmicBeetle s’est appuyé sur des outils issus du code de LockBit ayant fuité et, selon ESET, il pourrait être aujourd’hui affilié à RansomHub, un réseau de ransomware-as-a-service (RaaS) en pleine expansion.
Table des matières
ToggleCosmicBeetle : un gang de ransomware actif depuis 2020
Depuis ses débuts en 2020, CosmicBeetle a su s’imposer dans le paysage du cybercrime grâce à des attaques audacieuses. Ce groupe malveillant s’est d’abord fait connaître en utilisant des outils basés sur le célèbre ransomware LockBit, un code très répandu dans les attaques d’extorsion. Profitant d’une fuite du code source de LockBit sur le dark web, CosmicBeetle a récupéré et modifié ces outils pour créer ses propres attaques.
Le gang a ensuite évolué et s’est mis à développer ses propres logiciels malveillants. C’est dans ce cadre qu’ils ont déployé ScRansom, un ransomware personnalisé qui cible désormais plusieurs secteurs, notamment la santé, l’éducation, la technologie, et même des institutions gouvernementales locales. Selon l’étude récente d’ESET, CosmicBeetle s’est très probablement allié à RansomHub, un service de ransomware-as-a-service, pour renforcer son arsenal. Jakub Souček, chercheur chez ESET, déclare avoir récemment enquêté “sur un cas intéressant qui nous amène à penser que CosmicBeetle pourrait être un nouvel affilié de RansomHub. « .
ScRansom : un ransomware en constante évolution
ScRansom n’est pas encore considéré comme un des ransomwares les plus sophistiqués, mais il s’améliore constamment. Conçu en Delphi, ce ransomware a la capacité de chiffrer partiellement les fichiers, ce qui accélère le processus d’attaque tout en augmentant les chances que la victime paye pour débloquer ses données. Ce ransomware s’appuie sur une série d’outils regroupés sous l’appellation Spacecolon, comprenant ScHackTool, ScInstaller, ScService et ScPatcher, chacun étant conçu pour maximiser l’infiltration et le chiffrement des données. L’utilisation de la bibliothèque IPWorks pour le cryptage renforce l’efficacité des attaques, mais le processus de déchiffrement reste imparfait. Selon la télémétrie d’ESET, plusieurs clés de décryptage peuvent être nécessaires, et même dans ce cas, certains fichiers sont irrémédiablement corrompus. CosmicBeetle a compensé son immaturité en imitant LockBit, en espérant induire les victimes en erreur et augmenter les chances de paiement.
“ Les victimes de ScRansom qui décident de payer doivent être prudentes. Bien que le décrypteur lui-même fonctionne comme prévu (au moment de la rédaction), plusieurs clés de décryptage sont souvent nécessaires et certains fichiers peuvent être définitivement perdus, en fonction de la manière dont CosmicBeetle a procédé au cours du cryptage.” déclarent les chercherus d’ESET
CosmicBeetle a d’ailleurs remplacé son précédent ransomware, Scarab, par ScRansom, dans une volonté constante d’amélioration. Le groupe tire parti de la fuite du builder de LockBit, qui a fait l’objet d’une fuite, pour se faire passer pour ce célèbre gang. Les chercheurs ont observé cette usurpation dans les notes de rançon, mais aussi sur des sites de fuite dédiés. Ces tentatives pour se créer une identité crédible masquent en réalité une certaine immaturité technique du groupe. Cependant, même si leur ransomware n’atteint pas le niveau de sophistication de ses concurrents, les PME restent vulnérables à ces cyberattaques répétées, surtout lorsqu’elles sont confrontées à des pertes irrémédiables, malgré le paiement de la rançon. Et comme un malheur ne vient jamais seul, ScRansom est équipé d’un mode spécial appelé « ERASE », qui rend certains fichiers irrécupérables, même après paiement.
Failles non corrigées et brute force : la méthode CosmicBeetle
Pour infiltrer les systèmes, CosmicBeetle s’appuie principalement sur deux méthodes : l’exploitation de failles non corrigées et des attaques par brute force. Le principe de brute force consiste à tester des milliers de combinaisons de mots de passe jusqu’à trouver celui qui débloquera l’accès à un système. Ce type d’attaque est particulièrement efficace contre les PME, souvent moins bien protégées que les grandes entreprises.
Les attaques menées par CosmicBeetle utilisent souvent des failles de sécurité bien connues, notamment des vulnérabilités comme CVE-2023-27532 , une vulnérabilité dans une composante de sauvegarde et de réplication de Veeam qui est aussi exploitée par EstateRansomware (pour plus de détails consulter notre article dédié). Ces failles, bien que déjà corrigées par des mises à jour, demeurent une porte ouverte pour les hackers lorsqu’elles ne sont pas patchées par les entreprises concernées. CosmicBeetle vise spécifiquement les PME qui ne maintiennent pas un processus rigoureux de gestion des correctifs.
Selon ESET les vulnérabilités suivantes sont exploitées :
- CVE-2017-0144 (aka EternalBlue),
- CVE-2023-27532 (a vulnerability in a Veeam Backup & Replication component),
- CVE-2021-42278 and CVE-2021-42287 (AD privilege escalation vulnerabilities) through noPac,
- CVE-2022-42475 (a vulnerability in FortiOS SSL-VPN), and
- CVE-2020-1472 (aka Zerologon).
Les entreprises victimes de ScRansom se retrouvent alors face à un dilemme : payer la rançon exigée ou risquer de perdre leurs données définitivement. Cependant, même dans les cas où une rançon est versée, le processus de déchiffrement est loin d’être fiable. ESET rapporte que la clé fournie par les hackers fonctionne mal dans certains cas, entraînant la perte définitive des données. Le déchiffrement, quand il est possible, est souvent long et complexe, un autre facteur dissuadant le paiement.
Des secteurs variés dans le viseur
Les secteurs touchés par ScRansom sont variés. Les chercheurs ont identifié des victimes dans la fabrication, l’éducation, la santé, les services financiers, les technologies, l’hôtellerie et même les administrations locales. En France, certaines PME ont été directement ciblées, avec des cyberattaques touchant des entreprises de tailles diverses. Le malware ne fait pas de distinction : toute organisation négligeant sa cybersécurité est une proie potentielle.
CosmicBeetle et RansomHub : une alliance stratégique
Le lien entre CosmicBeetle et RansomHub marque une étape importante dans leur stratégie. RansomHub, un réseau de ransomware-as-a-service (RaaS), permet à d’autres acteurs du cybercrime de « louer » des ransomwares pour mener leurs propres attaques. CosmicBeetle a ainsi pu profiter des ressources de RansomHub comme l’EDR killer pour intensifier ses offensives. Pour en savoir plus sur le concept d’EDR killer, consultez notre article sur RansomHub.
“À notre connaissance, il n’y a pas de fuites publiques du code de RansomHub ou de son concepteur (bien que RansomHub lui-même soit probablement basé sur un code acheté à Knight, un autre gang de ransomware). Par conséquent, nous pensons avec une confiance moyenne que CosmicBeetle s’est inscrit en tant que nouvel affilié de RansomHub.” peut-on lire dans l’étude d’ESET.
ScRansom : un chiffrement complexe et une récupération incertaine
Le ransomware ScRansom de CosmicBeetle utilise un schéma de chiffrement complexe, tout en souffrant d’une certaine immaturité dans son développement qui entraîne souvent des pertes de données irréversibles.
Le processus génère une clé AES-CTR-128 (ProtectionKey) et une paire de clés RSA-1024 (RunKeyPair) pour chaque session de chiffrement. Un fichier contient ensuite diverses informations cryptées, notamment la clé de chiffrement du fichier (FileKey) et des détails sur les blocs chiffrés.
ScRansom utilise un chiffrement partiel – seules certaines parties du fichier sont chiffrées. La méthode de chiffrement prend en charge plusieurs modes de cryptage (FAST, FASTEST, SLOW, FULL et ERASE.), le plus dangereux étant ERASE, qui remplace des portions de fichiers par des valeurs constantes, les rendant irrécupérables. Même lorsque la rançon est payée, le processus de décryptage est souvent chaotique : chaque Decryption ID nécessite une ProtectionKey distincte, ce qui complique la récupération complète des données.
Le mode ERASE pose un risque particulier rendant la récupération des données impossible, même en cas de paiement de la rançon. Une victime a dû gérer 31 ID de décryptage différents, nécessitant autant de clés de protection. Malgré cela, tous les fichiers n’ont pas pu être restaurés, soulignant l’inefficacité et l’amateurisme de ScRansom.
“Cette approche de décryptage est typique d’un acteur de menace de ransomware immature.Les gangs chevronnés préfèrent que leur processus de décryptage soit aussi simple que possible afin d’augmenter les chances d’un décryptage correct, ce qui renforce leur réputation et augmente la probabilité que les victimes paient. Généralement (comme dans le cas de la fuite du LockBit Black builder), un décrypteur est construit en même temps qu’un crypteur. Lorsqu’il est distribué à la victime, aucun effort supplémentaire de la part de l’utilisateur n’est nécessaire, car la clé est déjà contenue dans le binaire. En outre, une seule clé suffit pour déchiffrer tous les fichiers chiffrés, quel que soit l’endroit où ils se trouvent dans le réseau de la victime.” écrit Jakub Souček dans son analyse.
Nous vous recommandons de consulter l’étude des chercheurs d’ESET pour plus de détails techniques.
Dans le dernier épisode en date du podcast d’ESET Research, publié le 24 octobre 2024, Jakub Souček, chercheur principal en logiciels malveillants, analyse en détail les outils et tactiques de CosmicBeetle. Ne manquez pas cette discussion (en anglais) sur leurs méthodes peu orthodoxes et pourtant redoutables.
Comment se protéger contre ScRansom ?
Face à la menace de ScRansom, il est essentiel que les entreprises, en particulier les PME, adoptent une stratégie de cybersécurité proactive. Cela inclut :
- Mettre à jour les logiciels régulièrement : appliquer immédiatement les correctifs de sécurité fournis par les éditeurs pour éviter l’exploitation des failles.
- Renforcer les mots de passe : opter pour des mots de passe complexes et activer l’authentification à deux facteurs (2FA).
- Sauvegarder les données : adopter à minima la règle du 3-2-1 pour la sauvegarde (3 copies de vos données, sur 2 supports différents, et 1 copie hors site).
- Sensibiliser les employés : une formation régulière sur les bonnes pratiques en matière de cybersécurité peut faire la différence.
Nous vous conseillons vivement à ce titre de prendre connaissance des conseils donnés par l’opération de sensibilisation aux cyberattaques ImpactCyber lancée début octobre à l’intention des TPE et PME.
Source : CosmicBeetle steps up: Probation period at RansomHub (ESET)