Cybercriminalité organisée: la collaboration grandissante entre les gangs en 2018

Cybercriminalité organisée: la collaboration grandissante entre les gangs en 2018

Les chevaux de Troie bancaires et les gangs qui les exploitent continuent de tourmenter les banques, les individus et les organisations avec des transactions frauduleuses facilitées par des programmes malveillants et des schémas d’ingénierie sociale. Aux dernières nouvelles, la cybercriminalité a coûté plus de 600 milliards de dollars à l’économie mondiale en 2017 et les prévisions pour 2018 prévoyaient des pertes de 1 500 milliards de dollars.

Peu importe la manière dont vous calculez ces chiffres, ils constituent un fardeau qui ne cesse de croître et qui encourage une industrie complexe et florissante du crime en ligne.

Aller au-delà des chiffres de l’indice IBM X-Force Threat Intelligence

Chaque année, des gangs de cybercriminels de plus en plus organisés modifient leurs tactiques, leurs techniques et leurs procédures pour se soustraire aux contrôles de sécurité au niveau micro et à l’application de la loi au niveau macro. Derrière chaque logiciel malveillant nommé dans le tableau ci-dessous, les codes sont distribués et utilisés différemment et se concentrent sur différentes parties du monde. Le tableau est constitué de gangs de cybercriminalité organisés qui ont des liens avec d’autres gangs de cybercriminalité, chacun contribuant à nourrir la chaîne logistique perpétuelle de l’économie de la criminalité financière numérique.

Dans la cybercriminalité, on peut dire que plus les choses changent, plus les choses restent les mêmes. En 2018, cependant, on doit admettre que l’on a finalement été surpris lorsque deux gangs de malwares qui ne semblaient pas connectés au début ont commencé à collaborer ouvertement. Il est donc devenu plus clair que jamais que l’arène de Troie bancaire est dominée par des groupes de la même partie du monde, des personnes qui se connaissent et collaborent pour orchestrer des fraudes par câble à volume élevé.

Pour en savoir plus sur les programmes malveillants qui ont façonné 2018, commençons par examiner les principaux éléments du graphique des chevaux de Troie appartenant aux gangs et explorons en détail les informations recueillies par IBM Security pour les trois principaux.

Figure 1: Graphique des 10 familles de chevaux de Troie bancaires les plus actives en 2018 (source: IBM X-Force)

1. TrickBot

TrickBot, un cheval de Troie bancaire opéré par un groupe de menaces basé en Russie, était l’un des chevaux de Troie les plus agressifs de 2018. Il cible les banques du monde entier avec des configurations comportant beaucoup d’URL, qui incluent souvent un grand nombre de marques de banques ciblées du monde entier.

Les opérateurs de TrickBot se concentrent sur les services bancaires aux entreprises et les comptes de grande valeur détenus par des sociétés de banque privée et de gestion de patrimoine, mais ils se sont également diversifiés en 2018 pour inclure diverses plates-formes d’échange de commerce électronique et de crypto-monnaie sur leurs listes d’objectifs.

Selon les données IBM X-Force recueillies depuis l’ascension de TrickBot, aucun autre cheval de Troie financier n’est aussi actif en termes de campagnes d’infection et de déploiement d’attaques de redirection, ce qui indique que ses opérateurs disposent de suffisamment de ressources et de connexions pour développer et exploiter les programmes malveillants. parties du monde. En dépit de cette capacité globale, X-Force a vu TrickBot se concentrer davantage sur une poignée de pays dans chaque campagne, concentrant les économies importantes telles que le Royaume-Uni et les États-Unis sur presque toutes les cibles.  

Collaboration Intergang avec IcedID

Certaines des tendances de l’activité de TrickBot en 2018 incluent une collaboration avec un autre cheval de Troie bancaire, IcedID, découvert par IBM X-Force en septembre 2017, ainsi que l’exploitation du ransomware Ryuk, un sous-ensemble de la stratégie de monétisation de botnet de TrickBot. Celles-ci mettent en évidence une tendance plus large à la collaboration entre les opérateurs de Troie cherchant à générer des profits plus importants en dépit d’une sophistication croissante du contrôle de sécurité.

Au début, TrickBot et IcedID semblaient ne pas être liés. Mais environ huit mois après le début de l’existence d’IcedID, des signes d’un lien entre les deux sont devenus évidents. En mai 2018, les chercheurs de X-Force ont observé que TrickBot laissait tomber IcedID, alors qu’il avait été distribué principalement par le cheval de Troie Emotet, le même distributeur qui abandonne également TrickBot dans différentes campagnes.

En août 2018, les chercheurs d’IBM ont constaté qu’IcedID avait été mis à niveau pour se comporter de manière similaire au cheval de Troie TrickBot en ce qui concerne son déploiement. Le fichier binaire a été modifié pour devenir plus petit et ne comportait plus de modules intégrés. Les plug-ins du programme malveillant étaient récupérés et chargés à la demande après l’installation du cheval de Troie sur des appareils infectés. Ces modifications ont rendu IcedID plus discret, modulaire et plus similaire à TrickBot.

En plus de son niveau de furtivité accru, IcedID a également commencé à chiffrer le contenu de son fichier binaire en masquant les noms de fichier associés à son déploiement sur le système d’extrémité. Les objets d’événement d’IcedID, qui coordonnent plusieurs threads d’exécution dans les systèmes d’exploitation Windows, sont également similaires à TrickBot. IcedID a commencé à utiliser des événements nommés pour synchroniser l’exécution entre son binaire principal et les plug-ins sélectionnés pour le chargement. Lorsqu’un plug-in était appelé, il était récupéré par son numéro d’identité sur le serveur de l’attaquant et, lorsqu’il était chargé, un ID unique lui était attribué.

Bien que les auteurs de programmes malveillants se copient parfois les uns des autres, les recherches indiquent que ces modifications ne sont pas une coïncidence. Même si nous avons seulement examiné le fait que TrickBot et IcedID se fouillent mutuellement dans des dispositifs infectés, cela indiquerait que ces chevaux de Troie sont gérés par des équipes travaillant ensemble.

Partenaires de longue date?

Les liens entre TrickBot et IcedID ont peut-être commencé il y a des années dans une collaboration conçue pour aider les deux groupes à maximiser leurs opérations et leurs profits illicites. Au cours de la phase d’activité de six ans du cheval de Troie Neverquest (alias Catch ou Vawtrak), il a collaboré avec le groupe Dyre pour diffuser des programmes malveillants Dyre sur des appareils déjà infectés par Neverquest.

Le groupe Dyre d’origine a été partiellement dissout à la fin de 2015, suivi de l’ascension de TrickBot, qui serait le successeur de Dyre. Neverquest a cessé ses opérations après l’arrestation d’un de ses membres clés en 2016, à la suite de laquelle le cheval de Troie IcedID est apparu. Avec les deux fonctionnalités avancées et les liens évidents de cybercriminalité avec d’autres gangs, leur collaboration actuelle a probablement commencé il y a des années.

La connexion TrickBot-Ryuk

Une autre tendance de TrickBot qui a débuté en 2018 est une connexion avec les ransomware. Rappelant les liens du cheval de Troie Dridex au Locky, puis au ransomware BitPaymer, TrickBot a commencé à abandonner le ransomware appelé Ryuk. Contrairement aux réseaux à large bande qui répandent des ransomwares sur autant de destinataires que possible, Ryuk, comme BitPaymer, se propage dans des campagnes ciblées où les attaquants passent par la chaîne de destruction typique de la menace persistante avancée et rompent manuellement le réseau.

Les assaillants de Ryuk passent souvent par des étapes de reconnaissance, cherchant des données précieuses à détourner. L’objectif: infecter des organisations établies avec Ryuk, puis exiger de grosses sommes en rançons d’une valeur moyenne de centaines de milliers de dollars chacune.

Figure 2: Campagnes Ryuk – une procédure en quatre étapes pour transférer trois chevaux de Troie différents sur des périphériques cibles (source: IBM X-Force)

Après avoir examiné le code de Ryuk, il devint rapidement évident que ce ransomware n’était pas entièrement nouveau. Ryuk ressemble beaucoup au ransomware Hermes lié à une activité malveillante d’un groupe parrainé par un État, appelé Lazarus (aka Hidden Cobra).

Ryuk est-il connecté à Hermes? C’est une possibilité. Il se peut également que certains membres de Lazarus collaborent avec des opérateurs de Troie bancaires dans le cadre de partenariats transfrontaliers pour voler et blanchir de grandes quantités d’argent de la cybercriminalité via l’Europe de l’Est et en Asie, ou encore qu’une personne ayant accès au code Hermes l’ait réutilisé pour créer Ryuk.

Quelle que soit l’origine de Ryuk, cela montre que les opérateurs de TrickBot diversifient leur activité néfaste, continuent de se concentrer fortement sur le secteur des entreprises et lancent des attaques ciblées incitant les organisations à payer.

Figure 3: Collaboration entre les principaux gangs de logiciels malveillants (source: IBM X-Force)

TrickBot TTP et Evolution

En ce qui concerne les TTP, les opérateurs de TrickBot concentrent leurs efforts sur les entreprises et optent donc pour la distribution via des fichiers de productivité piégés et des sites Web factices. Après l’infection, les modules TrickBot lui permettent de se répandre latéralement dans des réseaux compromis et d’infecter d’autres utilisateurs.

TrickBot continue à utiliser les injections côté serveur déployées à la volée depuis son serveur d’attaque et les attaques de redirection hébergées sur ses serveurs pour détourner les utilisateurs et leur présenter une réplique factice du site Web de leur banque.

En 2018, les développeurs de TrickBot ont ajouté trois nouvelles fonctions au programme malveillant, facilitant le vol des identifiants RDP (Remote Desktop Protocol), des identifiants VNC (Virtual Network Computing) et des identifiants d’émulateur de terminal open source PuTTY. Il vole les données de performances et de fiabilité du système Windows et propose un nouveau mécanisme pour stocker sa configuration et ses clés publiques de cryptographie à courbe elliptique (ECC).

Le botnet TrickBot s’appuie sur une infrastructure considérée comme mature, dans laquelle certaines campagnes présentaient 2 458 adresses IP uniques de commande et contrôle (C & C) utilisées dans 493 versions de configuration principales sur 276 versions, le tout en une semaine.

X-Force s’attend à ce que TrickBot maintienne sa position sur le tableau mondial des malwares à moins d’être interrompu par la loi en 2019.

2. Gozi

Gozi (alias Ursnif) est très actif dans la nature depuis plus de dix ans, un phénomène rare dans le domaine de la cybercriminalité. Le logiciel malveillant a été découvert pour la première fois en 2007, alors qu’il était exploité par un groupe fermé de développeurs et de cybercriminels. À l’époque, il était utilisé principalement pour les utilisateurs de services bancaires en ligne dans les pays anglophones.

Au cours des années, Gozi a traversé presque toutes les phases qu’un cheval de Troie bancaire peut traverser. Son code a été divulgué en 2010, donnant lieu à d’autres chevaux de Troie, tels que Neverquest, qui ont également dominé les charts de la cybercriminalité pendant des années. Il a été utilisé lors de l’épreuve de Gozi-Prinimalka en 2012 et, en 2013, a été équipé d’un rootkit pour un enregistrement de démarrage principal (MBR) afin de créer une persistance élevée via le MBR d’un ordinateur.

En 2016, X-Force a fait état de la montée en puissance de l’hybride GozNym, une bête à deux têtes issue du programme malveillant Nymaim et intégrée au module anti-fraude financière de Gozi. À partir de 2017, les chercheurs de X-Force ont annoncé qu’une nouvelle variante de Gozi était à l’essai en Australie: Gozi v3. Le programme malveillant reposait sur le même code que le code ISFB d’origine de Gozi, mais comportait quelques modifications au niveau d’injection de code et à la tactique d’attaque.

En 2018, Gozi v2 était le deuxième cheval de Troie le plus actif dans la nature, travaillant dans le monde entier et au Japon. V2 fonctionne séparément de la version v3 qui continue de cibler les banques de la région Australie-Nouvelle-Zélande. Le logiciel malveillant est exploité selon un modèle de cybercriminalité en tant que service permettant à différents cybercriminels d’utiliser le botnet pour mener une fraude.

Pour atteindre de nouvelles victimes, Gozi est distribué sous forme de pièces jointes de documents et de feuilles de calcul invitant l’utilisateur à activer les macros. Dans les campagnes récentes, lorsque l’utilisateur se conforme, la macro exécute le processus hôte du fournisseur WMI (wmiprvse) pour exécuter un script PowerShell illicite. Le script est conçu pour extraire la charge utile et utilise la concaténation de chaînes pour échapper à la détection.

Récemment, dans le cas d’attaques contre des banques en Europe, Gozi a fourni un code personnalisé pour chaque utilisateur de la marque de banque ciblée, comparant sa tactique à des attaques de redirection dans lesquelles chaque marque est ciblée de manière spécifique.

Les distributeurs de Gozi utilisent des sites Web malveillants pour héberger leurs ressources, mais vérifient l’adresse IP géographique du périphérique cible afin de réduire le risque d’exposition. Si des paramètres de clavier russe ou chinois sont détectés lors de son installation, le déploiement prend fin.

Ce logiciel malveillant fait partie des principaux acteurs du tableau mondial des logiciels malveillants depuis cinq ans, et X-Force s’attend à ce que cet aliment de longue date de l’arène de la cybercriminalité organisée maintienne sa position sur le graphique en 2019.

3. Ramnit

Ramnit est un cheval de Troie bancaire prolifique actif dans la nature depuis 2010. Ramnit a commencé comme un ver à réplication automatique, exploitant les lecteurs amovibles et les partages réseau pour se propager vers de nouveaux terminaux. Au fur et à mesure de l’évolution du projet, Ramnit s’est transformé en un cheval de Troie bancaire modulaire et a commencé à se répandre via des kits d’exploits populaires tels que Angler et RIG.

Bien que ce soit l’un des chevaux de Troie les plus en vue entre 2011 et 2014, Ramnit a été pris pour cible par les forces de l’ordre en 2015. S’il était l’un des rares botnets à avoir jamais survécu à une perturbation coordonnée, ses opérateurs n’ont pas retrouvé le même niveau d’activité depuis. . Ces dernières années, Ramnit a été une opération répétitive, caractérisée par une longue pause dans ses activités en matière de cybercriminalité et un resserrement de son territoire d’attaque pour se concentrer principalement sur le Royaume-Uni, le Canada et le Japon.

2018: collaboration de réémergence et d’intergang

En 2018, le cheval de Troie Ramnit est revenu dans l’arène de la cybercriminalité avec un code revampé et un nouveau partenaire, un programme malveillant par proxy appelé Ngioweb. Le développeur de Ramnit a modifié son module financier afin d’améliorer ses capacités et a changé le nom du module interne de «Demetra» à «Camellia».

Le retour de Ramnit en 2018 a entraîné une infection déclarée de plus de 100 000 appareils en l’espace de deux mois, dans le cadre d’une opération baptisée “Black”. Dans cette campagne, Ramnit est revenu à ses racines et a été utilisé pour la première fois. infection de stade dans une chaîne de destruction conçue pour accumuler un botnet proxy de grande taille pour Ngioweb.

Quelle était la qualité de ce nouveau partenariat pour Ramnit? Nous pouvons seulement supposer qu’il a été utilisé pour créer un botnet proxy massif qui ressemblerait au botnet Gameover Zeus dans son architecture. La campagne des Noirs fut de courte durée et fin 2018, Ramnit était associé à Emotet, Dridex et BitPaymer pour avoir utilisé le même compte-gouttes que ces chevaux de Troie et s’être utilisé lui-même comme compte-gouttes pour Dridex.

TTPs

Les commentaires sur la configuration et le code montrent que Ramnit est probablement en cours de développement par les nouveaux membres de l’équipe. Les injections de configuration ont été modifiées en vue de la programmation Lua et, dans de nombreux cas, sont arrivées avec des problèmes ou des problèmes. Ce n’était pas le cas pour ce malware au cours des dernières années.

Pour sa routine de déploiement, Ramnit a commencé à utiliser du code reposant sur les scripts PowerShell dans ce qu’on appelle l’injection PE réflective. Ses modules ne sont pas tirés d’un serveur distant, mais contiennent le malware principal, et sa dépendance à un algorithme de génération de domaine (DGA) a été modifiée pour inclure les domaines codés en dur.

Allons-nous continuer à voir Ramnit en 2019? Les chercheurs de X-Force s’attendent à voir le même modèle d’activité pour ce malware avec sa nature va-et-vient au Japon et en Europe. Ramnit va probablement perdre son rang actuel dans le classement mondial des chevaux de Troie et être dépassé par IcedID et de nouveaux arrivants comme BackSwap et DanaBot.

Paysage de la menace

Les chevaux de Troie bancaires font depuis plus de 10 ans l’objet d’une lourde charge dans le paysage des menaces à la cybercriminalité. Les cinq dernières années nous ont montré que cette classe d’agresseurs ne fait que s’affaiblir avec le temps, en incorporant des connaissances techniques et une ingénierie sociale de pointe afin d’axer les régimes sur les victimes les plus rentables: entreprises, crypto-monnaie et individus de grande valeur.

Alors que les années précédentes avaient vu les gangs opérer comme des adversaires, occuper des territoires différents et même s’attaquer aux logiciels malveillants les uns des autres, nos recherches de 2018 ont permis de relier les principaux gangs de la cybercriminalité dans une collaboration explicite. Cette tendance est un signe négatif qui met en évidence la manière dont les opérateurs de réseaux de zombies unissent leurs forces, révélant ainsi le facteur de résilience de ces opérations néfastes.

Même s’il peut être difficile de détecter ce type de logiciel malveillant en évolution, il est possible d’arrêter les chevaux de Troie avant de les intégrer à votre appareil ou à votre organisation. Des contrôles de sécurité et une formation adéquats des utilisateurs, ainsi que la réaction planifiée aux incidents, peuvent aider à maîtriser cette menace et à en limiter les effets néfastes, si jamais un compte était repris et volé par des criminels très expérimentés.

Pour en savoir plus sur les principales menaces pour la sécurité en 2018 et sur ce que 2019 pourrait avoir en stock, téléchargez «l’index IBM X-Force sur les menaces.». Consultez le rapport à la page 30 pour consulter les conseils de notre équipe d’experts sur la réduction des menaces et la violation possible.