L’équipe de chercheurs d’At-Bay indique que le gang Royal exploite activement la vulnérabilité critique CVE-2022-27510. Elle vise des passerelles et des contrôleurs Citrix pour déployer leur ransomware.
Selon l’équipe de recherche du fournisseur de cyber-assurance At-Bay, le groupe de ransomware Royal exploite activement une faille de sécurité critique affectant les systèmes Citrix. Annoncée par le spécialiste de la virtualisation le 8 novembre 2022, la vulnérabilité, identifiée comme CVE-2022-27510, contourne des mesures d’authentification sur deux produits Citrix: Application Delivery Controller (ADC) et Gateway. Il n’y avait aucun cas connu d’exploitation de la vulnérabilité au moment de la divulgation. Cependant, dès la première semaine de 2023, les analyses d’At-Bay suggèrent que le groupe Royal s’en sert désormais activement. Ce dernier est considéré comme l’un des gangs ransomware les plus sophistiqués. Il est apparu en janvier 2022 et a été particulièrement actif au second semestre l’an dernier notamment via l’exploit de camagnes Ads de Google.
Dès que le bug de Citrix a été publiée, les chercheurs ont commencé à évaluer l’ampleur du risque et à identifier les entreprises susceptibles d’être exposées, a écrit Adi Dror, analyste de données cyber d’At-Bay, dans un rapport. « Les données de nos analyses, les informations tirées des plaintes et d’autres renseignements recueillis par notre équipe indiquent que la vulnérabilité Citrix CVE-2022-27510 est le point d’accès initial utilisé par le groupe Royal Ransomware pour lancer une attaque », ajoute-t-il.
Un vecteur d’attaque courant mais efficace
La méthode d’exploitation suspectée de la vulnérabilité Citrix par le groupe Royal est conforme à une technique similaires observées dans le passé, a poursuivi Adi Dror. Il semble que Royal exploite cette vulnérabilité de contournement d’authentification pour obtenir un accès non autorisé aux terminaux avec ADC ou Gateway et lancer des attaques de ransomware. « L’exploit sur les serveurs est l’un des vecteurs d’attaque les plus courants pour les groupes de rançongiciels, en particulier les serveurs d’infrastructure critiques comme ceux fournis par Citrix. Cependant, ce qui distingue cette instance, c’est que le groupe utilise la vulnérabilité Citrix avant qu’il n’y ait un exploit public ». A noter que les versions suivantes des produits du spécialiste de la virtualisation sont affectées par CVE-2022-27510 : ADC et Gateway 13.1 (avant 13.1-33.47), ADC et Gateway 13.0 (avant 13.0-88.12, ADC et Gateway 12.1 (avant 12.1-65.21), et ADC 12.1-FIPS (avant 12.1-55.289).
Les entreprises utilisant l’une de ces solutions sont invitées à corriger les logiciels vulnérables et à suivre les méthodes d’atténuation recommandées par Citrix. « Même pour les clients qui n’ont pas reçu d’alerte de sécurité, il est important qu’ils vérifient s’ils utilisent des produits vulnérables et qu’ils corrigent immédiatement », a déclaré Adi Dror.
Une menace active et évasive pour les entreprises
Le groupe Royal a considérablement intensifié ses opérations au cours des derniers mois de 2022 et a développé son propre programme de ransomware personnalisé qui permet aux attaquants d’effectuer un chiffrement de fichiers flexible et rapide. « Son rançongiciel, que le groupe déploie via différents TTP, a eu un impact sur plusieurs entreprises à travers le monde », ont déclaré des chercheurs de Cybereason dans une récente étude.
Les tactiques du groupe présentent des similitudes avec celles de Conti, ce qui fait soupçonner qu’il est en partie composé d’anciens membres du tristement célèbre groupe qui a fermé ses portes en mai 2022. Royal est connu pour utiliser le phishing comme vecteur d’attaque initial, ainsi que des tiers- chargeurs tels que BATLOADER et Qbot pour la distribution. L’accès initial est généralement suivi du déploiement d’un implant Cobalt Strike pour la persistance et pour se déplacer latéralement à l’intérieur de l’environnement en vue de la suppression de la charge utile du ransomware. Les tactiques utilisées par Royal donne au groupe la capacité d’échapper à la détection avec un chiffrement partiel.
Le fournisseur Action1 spécialiste en surveillance, gestion à distance, maintenance et automatisation des tâches protège sa plateforme contre les tentatives d’exploitation malveillante par des acteurs de la menace.
Action1 a annoncé un filtrage des acteurs de la menace basé sur l’IA pour détecter et bloquer les abus de sa plateforme de gestion à distance, maintenance et automatisation des tâches. La société cloud native spécialiste en remote monitoring and management (RMM) a déclaré que sa solution avait été mise à niveau pour détecter les comportements anormaux des utilisateurs et bloquer automatiquement les acteurs de la menace afin d’empêcher les attaquants d’exploiter son outil pour mener des activités malveillantes. La publication intervient alors que la tendance des pirates à utiliser à mauvais escient des plateformes de gestion de systèmes légitimes pour déployer des rançongiciels ou voler des données dans des environnements d’entreprise ne cesse de s’accroître.
Dans une annonce, Action1 a déclaré que sa dernière amélioration permet de garantir que toute tentative d’utilisation abusive de sa plateforme de gestion à distance est identifiée et arrêtée avant que les cybercriminels n’atteignent leurs objectifs. « Il analyse l’activité des utilisateurs à la recherche de comportements suspects, suspend automatiquement les comptes potentiellement malveillants et alerte l’équipe de sécurité dédiée d’Action1 pour enquêter sur le problème », a-t-il ajouté. Action1 a développé cette amélioration après que sa plateforme a été abusée par des acteurs de la menace au début de cette année. Par conséquent, la mise à niveau contribuera à garantir qu’Action1 n’est utilisé que pour de bonnes raisons, tandis que des milliers de professionnels de l’informatique utilisent la plateforme pour automatiser les correctifs du système d’exploitation et des tiers et la gestion des terminaux, selon la société. « L’accessibilité des outils d’accès et de surveillance à distance élimine le besoin pour les acteurs malveillants d’investir leur temps et leurs efforts dans le développement d’outils de gestion des attaques, facilitant la cybercriminalité comme les ransomwares », a déclaré Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1. « Nous pensons que les fournisseurs devraient prendre davantage de mesures pour empêcher l’utilisation abusive de leurs solutions dans le cadre de la lutte commune contre cette menace ».
L’abus d’outils de gestion légitimes, une menace de premier plan pour la sécurité
L’exploitation d’outils de gestion légitimes et fiables constitue en effet une menace substantielle et permanente pour les entreprises. En mai, ThreatLocker mettait en garde contre une forte augmentation des attaques abusant des outils RMM. « Nous avons observé une forte augmentation des attaquants utilisant des outils de gestion à distance au cours des derniers jours. Alors que dans la plupart de ces cas, les outils avaient une authentification à double facteur, les attaquants pouvaient toujours y accéder et les utiliser pour lancer des cyberattaques », a écrit le fournisseur dans une alerte de sécurité. À l’aide de ces outils, un pirate peut émettre des commandes pour redémarrer la machine d’un utilisateur en mode sans échec avec mise en réseau, une fonctionnalité disponible dans de nombreux outils de gestion à distance, a ajouté ThreatLocker. « Une machine démarrée en mode sans échec ne charge pas de logiciel de sécurité ». En novembre, les chercheurs en sécurité de l’équipe Unit42 de Palo Alto ont enquêté sur plusieurs incidents liés à la campagne d’extorsion par hameçonnage par rappel du groupe Luna Moth dans laquelle les acteurs de la menace utilisent des outils de gestion des systèmes légitimes et fiables pour interagir directement avec les ordinateurs des victimes afin d’exfiltrer manuellement les données à des fins d’extorsion. « Si ces outils ne sont pas malveillants, ils ne seront probablement pas signalés par les produits antivirus traditionnels », ont écrit les chercheurs. Unit42 a déclaré que la campagne a coûté des centaines de milliers de dollars aux victimes, constituant une menace importante pour la sécurité.
« Les acteurs de la menace utilisent largement les outils informatiques courants pour mettre en œuvre leurs attaques afin d’économiser les ressources et de rester sous le radar des technologies de sécurité », a déclaré Adam Khan, vice-président des opérations de sécurité mondiales, MSP Managed XDR chez Barracuda. Par exemple, en 2022, Barracuda XDR a répondu à une attaque de ransomware où ils ont trouvé, entre autres, les applications de bureau à distance légitimes AnyDesk, Logmein et TeamViewer installées sur des ordinateurs infectés. « En fait, les dernières données du Global Security Operations Center de Barracuda XDR montrent que les détections pour l’application de bureau à distance AnyDesk figuraient dans le top 10 des signatures suspectes repérées sur les réseaux clients en 2022 », poursuit Adam Khan. Le compromis avec AnyDesk permet potentiellement aux attaquants de prendre pied dans un réseau cible qui leur permet d’accéder à distance à n’importe quelle partie de l’environnement et de maintenir la persistance. « Les défenseurs peuvent se protéger en renforçant les mesures de sécurité essentielles, telles que les correctifs, l’octroi du niveau minimum de privilèges d’accès nécessaires, le blocage ou la restriction de l’accès aux services distants, l’introduction d’une authentification multi-facteur et la sauvegarde hors ligne de toutes les données critiques. Mais cela vaut la peine d’en faire plus », explique Adam Khan. « Quel est le contexte de ce qui semble être une activité totalement bénigne ? Quand, où et comment l’outil est-il utilisé et est-ce attendu et conforme aux modèles connus ? Si ce n’est pas le cas, déclenchez l’alarme car vous êtes peut-être tombé dans une attaque active et le temps presse ».
- 1
- 2