Ils auraient mis la clé sous la porte après avoir lancé leur nouveau projet, « World Leaks », rappelait récemment l’entreprise de cybersécurité Group-IB. Une franchise criminelle uniquement focalisée sur l’exfiltration de données, sans chiffrement des systèmes des organisations visées.
Reste que les méthodes des cybercriminels de Hunters International commencent désormais à être bien connues, après la publication de deux rapports de recherches concordants. Le premier avait été publié en mars dernier par les français de Synaktiv, le second il y a une dizaine de jours par Varonis.
Cette franchise mafieuse est considérée comme l’un des rançongiciels les plus actifs en 2024. Suspectée d’être liée à Hive, un gang dont l’infrastucture a été démantelé à la fin janvier 2023, elle avait été observée à partir de l’automne 2023. En France, elle avait par exemple tenté d’extorquer l’entreprise française Intersport avec des données volées plus d’un an auparavant par Hive .
SmokedHam
Tout avait commencé, détaille Synacktiv, dans son article signé par Théo Letailleur, par le téléchargement de RVTools. Cet utilitaire permettant d’obtenir des informations sur ses machines virtuelles est bien pratique. Sauf que cette fois là, l’administrateur système s’est fait piéger par une publicité frauduleuse.
En cliquant sur le lien sponsorisé, ce dernier a en effet fait entrer le loup dans la bergerie, ici un cheval de Troie dissimulé dans le fichier de l’utilitaire. Une « technique intéressante », souligne Synacktiv, visiblement également distribuée via d’autres faux installateurs d’outils d’administration comme Angry IP Scanner ou DBeaver.
Plus précisément, l’exécution du programme malveillant ouvrait la porte dérobée SmokedHam en C# basée sur PowerShell. Un mauvais jambon fumé déjà décortiqué il y a quelques mois par TracLabs. Plutôt que d’installer un autre programme malveillant une fois dans la place, les cybercriminels vont alors installer Grabber, un logiciel, censé être légitime, visant à surveiller les ordinateurs de ses salariés.
Obfuscation
Ce software, qui permet l’enregistrement de frappe de clavier, va permettre aux intrus d’accumuler davantage d’informations sensibles. Et quelques semaines plus tard, les cybercriminels vont se déplacer sur un premier serveur, puis un second. Une fois les archives de l’organisation ciblée en vue, les attaquants vont les voler avant de les supprimer et de déployer ensuite un rançongiciel sur l’infrastructure virtuelle.
Le même mode opératoire sera relevé quelques semaines plus tard par Varonis. Le rançongiciel est un programme assez classique, signalement également Synacktiv. Le malware « arrête les machines virtuelles, les chiffre, puis remplit l’espace disque disponible sur l’hyperviseur ».
Reste toutefois un point particulier à signaler. Les développeurs de la souche de rançongiciel « ont pris des mesures importantes pour protéger leur code contre la rétro-ingénierie », note Synacktiv. Les cybercriminels n’aiment pas voir échapper leurs secrets.