Des chercheurs en sécurité d'EclecticIQ ont identifié un framework automatisé d'attaque par force brute - baptisé Bruted - jusqu'alors inconnu et que les membres du groupe de ransomware service (RaaS) Black Basta ont utilisé depuis 2023. "Selon l'analyse du code source, la capacité principale de ce framework est d'effectuer un balayage automatisé d'Internet et un bourrage d'informations d'identification contre les périphériques en bordure de réseau, y compris les parefeux et les solutions VPN largement utilisés dans les réseaux d'entreprise", a expliqué Arda Büyükkaa, chercheur en sécurité d'EclecticIQ.
Cette recherche a été menée sur la base de journaux de discussions internes de Black Basta divulgués le 11 février dernier par un acteur russophone utilisant le pseudonyme ExploitWhispers sur Telegram, qui avait déjà pu montrer les conflits internes au sein de ce groupe ayant précipité son déclin. La période de ces échanges s'étend de septembre 2023 à septembre 2024 et ces derniers ont aussi pu donner un aperçu des tactiques opérationnelles de ce gang. Les analystes d'EclecticIQ estiment que Black Basta a pu cibler les équipements en bordure de réseau par du credential stuffing, exploitant des identifiants faibles ou réutilisés servant d'une base initiale pour un mouvement latéral et le déploiement de ransomware. "Le framework Bruted permet aux affiliés de Black Basta d'automatiser et d'intensifier ces attaques, d'élargir le nombre de victimes et d'accélérer la monétisation pour mener des opérations de ransomware", assure Arda Büyükkaa. Les experts d'EclecticIQ observent que Black Basta cible en priorité les sociétés industrielles (fabrication, machinerie...) afin d'exploiter les dépendances de leur chaîne d'approvisionnement et augmenter la pression sur leurs victimes.
Des solutions Cisco, Citrix, Fortinet, Microsoft, Palo Alto, Sonicwall et Watchguard touchées
Trois serveurs ont été identifiés comme ayant été utilisés pour des attaques de force brute, enregistrés sous le même système autonome (AS) Proton66 et localisés en Russie pour mener des campagnes malveillantes de sécurité opérationnelle. "Ce choix stratégique visait très probablement à échapper à la surveillance des services de police occidentaux tout en menant des activités cybernétiques malveillantes sur le territoire russe", explique Arda Büyükkaa. Le framework Bruted cible une grande variété de solutions d'accès à distance et de VPN afin d'obtenir un accès initial aux réseaux des victimes. Parmi les solutions touchées, on retrouve Cisco Anyconnect, Citrix Netscaler (Citrix Gateway), Fortinet SSL VPN, Microsoft Remote Desktop Web, Palo Alto Globalprotect, Sonicwall Netextender, et Watchguard SSL VPN. Ce framework se sert d'un script PHP spécifique à chaque plateforme utilisant des chaînes d'agents, des chemins d'accès aux points de terminaison et des contrôles de réussite adaptés. "Cette large couverture des produits VPN et de bureau à distance reflète une approche hautement adaptable, permettant aux attaquants de rechercher systématiquement des informations d'identification faibles ou réutilisées dans plusieurs environnements d'entreprise", poursuit le chercheur en sécurité EclecticIQ.
En se penchant sur l'analyse du code source de ce framework, plusieurs opérations d'automatisation ont pu être établies, portant sur de la rotation de proxy, du scan Internet, de la génération et récupération d'identifiants, d'exécution distribuée et parallèle, de log et de reporting, de tactiques de ciblage spécifiques, de génération de mots de passe basés sur les domaines et les certificats. Selon les leaks de messages de chat des membres de Black Basta, on apprend par ailleurs que le groupe a exploité des vulnérabilités connues dans les VPN et les parefeux pour obtenir un accès initial, rappelant au passage l'importance d'appliquer les correctifs pour maintenir constamment à jour ses dispositifs réseaux et sécurité. Dans son rapport annuel sur les cybermenaces publié la semaine dernière, l'Anssi a tiré la sonnette d'alarme sur les attaques et les faiblesses des équipements de sécurité en bordure de réseau.
Les hyperviseurs VMware ESXi aussi visés
Les analystes d'EclecticIQ précisent avec une grande certitude que Black Basta a aussi donné la priorité à l'exploitation des dispositifs edge pour obtenir un accès initial tout en contournant les contrôles de sécurité traditionnels. "Ces dispositifs sont généralement dépourvus de capacités de détection et de réponse ce qui en fait un point d'entrée très attrayant", prévient Arda Büyükkaa. "Une fois à l'intérieur, Black Basta cible les hyperviseurs ESXi, qui hébergent des environnements virtualisés critiques. En obtenant un contrôle administratif total sur ESXi, les acteurs de la menace peuvent très probablement chiffrer le système de fichiers, perturber les machines virtuelles et paralyser les opérations métiers, augmentant ainsi la pression pour le paiement de la rançon. La compromission d'ESXi engendre également l'exfiltration de données, le déplacement latéral et l'infiltration en profondeur du réseau, ce qui maximise l'impact opérationnel. En combinant l'exploitation des terminaux edge et le déploiement d'un ransomware ESXi, Black Basta garantit un accès persistant, une perturbation généralisée et une meilleure négociation de la rançon."