EncryptRAT
L'acteur malveillant à motivation financière connu sous le nom d'EncryptHub a activement orchestré des campagnes de phishing avancées pour déployer des voleurs d'informations et des ransomwares. En outre, le groupe travaille sur un nouvel outil de menace appelé EncryptRAT, signalant son évolution continue dans le paysage de la cybercriminalité.
Table des matières
Cibler les applications populaires et utiliser les services PPI
EncryptHub a été observé en train de distribuer des versions trojanisées d'applications largement utilisées pour infiltrer les systèmes des victimes. Le groupe utilise également des services tiers de paiement à l'installation (PPI), tels que LabInstalls, pour élargir la portée de ses campagnes de malware.
Erreurs de sécurité opérationnelle et utilisation d’exploits
Des chercheurs en cybersécurité ont identifié EncryptHub comme un groupe de hackers qui commet fréquemment des erreurs de sécurité opérationnelles. Malgré ces erreurs, le groupe intègre avec succès des exploits de vulnérabilités de sécurité largement connues dans ses attaques, ce qui en fait une menace persistante.
Menace émergente : LARVA-208 et attaques multicanaux
Également suivi par une société de cybersécurité suisse sous le nom de LARVA-208, EncryptHub serait devenu actif en juin 2024. Le groupe utilise divers vecteurs d'attaque, notamment le phishing par SMS (smishing) et le phishing vocal (vishing), pour tromper les victimes et les amener à installer un logiciel de surveillance et de gestion à distance (RMM).
Affiliations avec les principaux groupes de ransomware
EncryptHub entretient des liens étroits avec les groupes RansomHub et Blacksuit Ransomware . Au cours des neuf derniers mois, il a compromis plus de 618 cibles de grande valeur dans de nombreux secteurs en utilisant des techniques avancées d'ingénierie sociale. Une tactique courante consiste à utiliser des sites Web de phishing conçus pour voler des identifiants VPN, suivis d'un appel se faisant passer pour un support informatique pour persuader les victimes de saisir leurs coordonnées. Dans les cas où les appels ne sont pas utilisés, de faux liens Microsoft Teams servent d'appât.
Hébergement à toute épreuve et déploiement de logiciels malveillants
Pour échapper à la détection, EncryptHub héberge des sites de phishing sur des fournisseurs d'hébergement à toute épreuve comme Yalishand. Une fois l'accès obtenu, l'attaquant exécute des scripts PowerShell pour installer des logiciels malveillants de type voleur tels que Fickle , StealC et Rhadamanthys . Dans la plupart des cas, l'objectif ultime est de déployer un ransomware et d'extorquer une rançon.
Les applications trojanisées comme point d’entrée clé
Une autre méthode couramment utilisée consiste à déguiser les logiciels malveillants en logiciels légitimes. EncryptHub a distribué de fausses versions d'applications telles que QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 et Palo Alto Global Protect. Une fois installées, ces applications contrefaites lancent un processus en plusieurs étapes, qui finit par délivrer des charges utiles dangereuses comme Kematian Stealer pour collecter les cookies du navigateur et d'autres données sensibles.
LabInstalls : un élément crucial dans la distribution de logiciels malveillants
Depuis le 2 janvier 2025 au moins, EncryptHub s'appuie sur LabInstalls, un service PPI qui propose l'installation de malwares en masse moyennant des frais. Les prix varient de 10 $ pour 100 chargements à 450 $ pour 10 000 chargements. EncryptHub a confirmé son utilisation du service en laissant des commentaires positifs sur un forum underground russophone, partageant même une capture d'écran comme preuve. Cela suggère que l'acteur externalise la distribution pour faire évoluer ses opérations plus efficacement.
EncryptRAT : la prochaine évolution de la cybercriminalité
EncryptHub développe activement EncryptRAT, un panneau de commande et de contrôle (C2) conçu pour gérer les systèmes infectés, exécuter des commandes à distance et accéder aux données volées. Certains éléments suggèrent que le groupe envisage de commercialiser cet outil, ce qui pourrait accroître la menace qu'il représente pour les entreprises et les particuliers.
La nécessité de la vigilance et de la défense proactive
L'adaptation et l'évolution continues d'EncryptHub soulignent le besoin urgent pour les organisations d'adopter des stratégies de sécurité multicouches. Une surveillance constante, des mesures de défense proactives et une formation de sensibilisation des utilisateurs sont essentielles pour atténuer les risques posés par cette cybermenace croissante.
