Microsoft traque un groupe de menaces qui se distingue par sa capacité à tirer profit des vols de données piratés qui recourent à de vastes attaques d’ingénierie sociale, à des recherches minutieuses et à des menaces physiques occasionnelles.
Contrairement à de nombreux groupes d’attaque de ransomwares, Octo Tempest, comme Microsoft l’a nommé, ne crypte pas les données après y avoir obtenu un accès illégal. Au lieu de cela, l’auteur de la menace menace de partager les données publiquement à moins que la victime ne paie une lourde rançon. Pour vaincre les défenses des cibles, le groupe recourt à une multitude de techniques qui, outre l’ingénierie sociale, incluent les échanges de cartes SIM, le phishing par SMS et les appels vocaux en direct. Au fil du temps, le groupe est devenu de plus en plus agressif, recourant parfois à des menaces de violence physique si une cible ne se conforme pas aux instructions lui demandant de remettre ses informations d’identification.
« Dans de rares cas, Octo Tempest recourt à des tactiques alarmistes, ciblant des individus spécifiques par le biais d’appels téléphoniques et de SMS », ont écrit les chercheurs de Microsoft dans un article publié mercredi. « Ces acteurs utilisent des informations personnelles, telles que les adresses personnelles et les noms de famille, ainsi que des menaces physiques pour contraindre les victimes à partager leurs informations d’identification pour accéder à l’entreprise. »
Octo Tempest s’est fait remarquer pour la première fois au début de l’année dernière, car il utilisait des échanges de cartes SIM pour piéger les entreprises qui fournissaient des services de traitement de télécommunications mobiles à d’autres entreprises. Le groupe vendrait ensuite l’accès non autorisé obtenu grâce à ces échanges à d’autres groupes criminels ou les utiliserait pour effectuer des rachats de comptes de personnes fortunées afin de voler leur crypto-monnaie. À la fin de l’année, le groupe avait élargi ses techniques et élargi ses cibles pour inclure les organisations de télécommunications par câble, de courrier électronique et de technologie. À cette époque, il a commencé à extorquer les victimes dont il avait volé les données, en recourant parfois à des menaces physiques.
Plus tôt cette année, le groupe de langue maternelle anglaise est devenu une filiale de l’opération de rançon en tant que service ALPHV/BlackCat. Cela a permis au groupe de se démarquer, car les syndicats criminels de ransomware d’Europe de l’Est acceptent rarement des membres anglophones. Les attaques de ransomware ALPHV/BlackCat d’Octo Tempest ciblent à la fois les versions Windows et Linux des systèmes, souvent lorsqu’elles s’exécutent sur des serveurs VMWare ESXi. Les cibles se situent souvent dans des secteurs tels que les ressources naturelles, les jeux, l’hôtellerie, les produits de consommation, la vente au détail, l’industrie manufacturière, le droit, la technologie et les services financiers.
« Au cours de campagnes récentes, nous avons observé qu’Octo Tempest exploitait un large éventail de TTP pour naviguer dans des environnements hybrides complexes, exfiltrer des données sensibles et chiffrer des données », a écrit Microsoft. « Octo Tempest exploite des savoir-faire que de nombreuses organisations n’ont pas dans leurs modèles de menace habituels, tels que le phishing par SMS, l’échange de cartes SIM et les techniques avancées d’ingénierie sociale. »
Les chercheurs ont poursuivi :
Octo Tempest lance généralement des attaques d’ingénierie sociale ciblant les administrateurs techniques, tels que le personnel du support technique et du service d’assistance, qui disposent d’autorisations permettant à l’acteur malveillant d’obtenir un accès initial aux comptes. L’acteur malveillant effectue des recherches sur l’organisation et identifie des cibles pour usurper efficacement l’identité des victimes, en imitant l’idiolecte lors des appels téléphoniques et en comprenant les informations personnelles identifiables pour inciter les administrateurs techniques à réinitialiser les mots de passe et à réinitialiser les méthodes d’authentification multifactorielle (MFA). Octo Tempest a également été observé se faisant passer pour des employés nouvellement embauchés dans le but de se fondre dans les processus normaux d’embauche.
Octo Tempest obtient principalement un accès initial à une organisation en utilisant l’une des méthodes suivantes :
- Ingénierie sociale
- Appeler un employé et ingénierie sociale de l’utilisateur pour :
- Installer un utilitaire de surveillance et de gestion à distance (RMM)
- Accédez à un site configuré avec un faux portail de connexion à l’aide d’une boîte à outils d’adversaire au milieu
- Supprimer leur jeton FIDO2
- Appeler le service d’assistance d’une organisation et ingénierie sociale pour réinitialiser le mot de passe de l’utilisateur et/ou modifier/ajouter un jeton/facteur d’authentification multifacteur
- Achat des identifiants et/ou des jetons de session d’un employé sur un marché clandestin criminel
- Numéros de téléphone des employés de phishing par SMS avec un lien vers un site configuré avec un faux portail de connexion à l’aide d’une boîte à outils d’adversaire du milieu
- Utiliser l’accès préexistant de l’employé aux télécommunications mobiles et aux organisations d’externalisation des processus métier pour lancer un échange de carte SIM ou pour configurer un transfert de numéro d’appel sur le numéro de téléphone d’un employé. Octo Tempest lancera une réinitialisation du mot de passe en libre-service du compte de l’utilisateur une fois qu’il aura pris le contrôle du numéro de téléphone de l’employé.
L’artisanat supplémentaire comprend :
- PingCastle et ADRecon pour effectuer la reconnaissance d’Active Directory
- Scanner IP avancé pour sonder les réseaux victimes
- Bibliothèque Govmomi Go pour énumérer les API vCenter
- Module PureStorage FlashArray PowerShell pour énumérer les baies de stockage
- Téléchargements groupés AAD d’utilisateurs, de groupes et d’appareils.
Le message de Microsoft contient divers autres détails, ainsi que les défenses que les organisations peuvent adopter pour repousser les attaques. Les défenses incluent l’utilisation de communications hors bande lors de l’interaction avec des collègues, la formation des employés et la mise en œuvre d’une authentification multifacteur conforme à la FIDO.