Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware LeakNet

Ransomware LeakNet

Par Mezo en Ransomware, Menace persistante avancée (APT)
Se traduisent par :

L'opération de ransomware LeakNet a introduit une évolution notable dans les tactiques d'intrusion en exploitant la technique d'ingénierie sociale ClickFix comme principal vecteur d'entrée. Cette approche manipule les utilisateurs afin qu'ils exécutent des commandes malveillantes sous prétexte de résoudre des erreurs système fabriquées de toutes pièces. Contrairement aux méthodes d'accès traditionnelles, telles que l'achat d'identifiants volés auprès de courtiers en accès initial, cette tactique exploite directement la confiance et les habitudes des utilisateurs.

Des sites web compromis, mais par ailleurs légitimes, sont utilisés pour diffuser de fausses demandes de vérification CAPTCHA. Ces demandes incitent les utilisateurs à copier et exécuter une commande malveillante msiexec.exe via la boîte de dialogue Exécuter de Windows. Comme cette interaction imite une activité système courante, l'attaque paraît anodine et n'éveille pas immédiatement les soupçons. Cette stratégie opportuniste et généralisée permet de cibler de nombreux secteurs d'activité sans discrimination.

Changement stratégique : Indépendance vis-à-vis des courtiers d’accès initiaux

La transition de LeakNet vers ClickFix représente un changement opérationnel stratégique. En s'affranchissant des fournisseurs d'identifiants tiers, le groupe réduit les coûts et les délais d'accès. Cette indépendance supprime un goulot d'étranglement majeur, permettant ainsi aux campagnes de se développer plus rapidement et plus efficacement.

De plus, l'utilisation d'infrastructures légitimes compromises plutôt que de systèmes contrôlés par un attaquant réduit considérablement les indicateurs réseau détectables. Les défenses périmétriques traditionnelles s'en trouvent ainsi moins efficaces, car l'activité malveillante se fond parfaitement dans le trafic légitime.

Exécution sans fichier : le chargeur basé sur Deno en action

L'une des caractéristiques techniques déterminantes de ces attaques est le déploiement d'un chargeur de commande et de contrôle par étapes, basé sur l'environnement d'exécution JavaScript Deno. Ce chargeur exécute du JavaScript encodé en Base64 directement en mémoire, évitant ainsi les écritures sur disque et minimisant les traces numériques.

Une fois activée, la chargeuse remplit plusieurs fonctions essentielles :

  • Analyse le système compromis pour recueillir des renseignements environnementaux
  • Établit une communication avec un serveur externe pour récupérer des charges utiles secondaires.
  • Assure la persistance grâce à un mécanisme d'interrogation qui récupère et exécute en continu du code supplémentaire.

Ce modèle d'exécution sans fichier renforce la furtivité et complique les efforts de détection des outils de sécurité traditionnels.

Plan d’action cohérent après l’exploitation

Malgré des variations dans les modalités d'accès initiales, les opérations de LeakNet convergent vers un flux de travail prévisible après compromission. Cette constance offre aux équipes de défense de précieuses opportunités de détection et d'interruption avant le déploiement du ransomware.

La séquence d'attaque typique comprend :

  • Chargement latéral de DLL pour exécuter des bibliothèques malveillantes fournies par le chargeur
  • Déplacement latéral à l'aide d'outils tels que PsExec pour étendre l'accès au réseau
  • Reconnaissance des identifiants via cmd.exe /c klist pour identifier les sessions d'authentification actives
  • Mise en place et exfiltration de données via des compartiments S3, masquant l'activité sous forme de trafic cloud légitime
  • Phase finale de chiffrement pour déployer le ransomware

L'utilisation d'outils natifs Windows et de services cloud courants permet aux actions malveillantes de se fondre dans le comportement normal du système et du réseau.

Profil de la menace : Origines et portée du ciblage

Apparu en novembre 2024, LeakNet s'est initialement positionné comme un « chien de garde numérique », promouvant la transparence et la liberté d'Internet. Cependant, les activités observées révèlent un champ d'action plus vaste et plus agressif, incluant des attaques contre des organisations industrielles.

La stratégie de ciblage indiscriminée de la campagne, combinée à des méthodes d'infection évolutives, souligne son intention de maximiser sa portée plutôt que de se concentrer sur des secteurs spécifiques.

Implications défensives : la prévisibilité comme avantage

Bien que les techniques d'intrusion de LeakNet aient évolué, sa dépendance à une chaîne d'exploitation reproductible constitue une faille critique. Chaque étape de l'attaque, de l'exécution au déplacement latéral et à l'exfiltration des données, suit des schémas comportementaux identifiables.

Cette cohérence permet aux défenseurs de :

  • Détecter l'utilisation anormale d'outils système légitimes
  • Surveiller les schémas d'exécution inhabituels en mémoire
  • Identifier les interactions suspectes avec le stockage cloud
  • Interrompre la progression de l'attaque avant le chiffrement.

Le principal enseignement est clair : même si les méthodes d’accès initiales peuvent varier, le schéma opérationnel sous-jacent reste stable, offrant de multiples possibilités de détection et de réponse précoces.

 

Tendance

Courriels malveillants pour la mise à niveau des...

Courrier indésirable, Logiciels malveillants
Il est crucial de rester vigilant face aux courriels inattendus dans le contexte actuel des menaces informatiques. Les cybercriminels dissimulent fréquemment des messages malveillants sous l'apparence de correspondances légitimes afin de manipuler les destinataires et de les inciter à commettre des actes répréhensibles. Les courriels proposant un « surclassement en chambre d'hôtel » en sont un...

Arnaque par e-mail concernant la mise à jour du...

Hameçonnage, Courrier indésirable
Il est crucial de rester vigilant face aux courriels inattendus dans le contexte actuel des menaces informatiques, surtout lorsqu'il s'agit d'actifs numériques. Les cybercriminels usurpent fréquemment l'identité de marques de confiance pour créer un faux sentiment d'urgence et de légitimité. Les courriels vous invitant à mettre à jour le firmware de votre Ledger font partie de cette escroquerie...

Le plus regardé

Chargement...