Un courtier d’accès initial, travaillant pour le compte du groupe de rançongiciels Conti (entre autres), cible chaque jour des centaines d’organisations, exploitant une faille dans MSHTML, un moteur de navigateur propriétaire pour Windows, selon les chercheurs de Google.
Le groupe d’analyse des menaces de Google a trouvé un groupe surnommé « Exotic Lily » travaillant comme un courtier d’accès initial – violant les réseaux cibles, avant de vendre l’accès acquis au plus offrant.
Les opérateurs de ransomware externalisent souvent les efforts d’accès initiaux, afin de se concentrer entièrement sur la distribution du ransomware lui-même, et la poussée ultérieure vers le paiement de la rançon.
Fausse arnaque LinkedIn
Exotic Lily était relativement avancée dans ses tactiques et utilise des quantités «inhabituelles» de travail de grognement, pour une opération à grande échelle, affirme Google.
Le groupe utiliserait l’usurpation de domaine et d’identité pour se faire passer pour une entreprise légitime et enverrait des e-mails de phishing, simulant généralement une proposition commerciale. Ils utiliseraient également des outils d’intelligence artificielle (IA) accessibles au public pour générer des images authentiques d’humains, pour créer de faux comptes LinkedIn, ce qui contribuerait à la crédibilité de la campagne.
Une fois le contact initial établi, l’auteur de la menace téléchargerait le logiciel malveillant sur un service public de partage de fichiers, tel que WeTransfer, pour éviter d’être détecté par les programmes antivirus et augmenter les chances de livraison au terminal cible. Le malware, généralement un document militarisé, exploite un zero-day dans le moteur de navigateur MSHTML de Microsoft, suivi comme CVE-2021-40444. Le déploiement de la deuxième étape portait généralement le BazarLoader.
Les chercheurs de Google pensent que le groupe est autonome et travaille pour le plus offrant. Jusqu’à présent, il a été lié à Conti, Diavol, une houle comme Wizard Spider (un opérateur présumé du rançongiciel Ryuk).
Exotic Lily a été repérée pour la première fois en septembre de l’année dernière et, à des performances optimales, est capable d’envoyer plus de 5 000 e-mails de phishing à plus de 650 organisations, selon Google. Il semble que l’acteur de la menace se concentre principalement sur les entreprises de l’informatique, de la cybersécurité et de la santé, bien qu’il ait jeté un filet un peu plus large ces derniers temps.
Via : TechCrunch