Qu’est-ce que le ransomware Quantum ?
Table des matières :
Rançongiciel Quantum, une souche qui a attiré une attention significative depuis sa découverte en juillet 2021, s’est avérée être une forme de rançongiciel particulièrement malveillante et en rapide évolution. Alors que les professionnels de la cybersécurité s’efforcent de garder une longueur d’avance sur les cybercriminels, comprendre les complexités et l’impact potentiel du rançongiciel Quantum devient impératif. C’est une sous-variante du rançongiciel MountLocker, avec AstroLocker et XingLocker. Bien qu’étant moins actif que ses souches sœurs, il exige des paiements de rançon allant de 150 000 $ à plusieurs millions de dollars, ce qui est à la hauteur de la souche parente.
L’une des caractéristiques les plus frappantes du rançongiciel Quantum est qu’il est utilisé dans des attaques extrêmement rapides. Les victimes disposent généralement de seulement quelques heures entre l’infection initiale et le chiffrement de leurs fichiers. Exploitant l’élément de surprise, les attaquants frappent souvent pendant les heures creuses. Le groupe Quantum comprend des membres de Conti, un autre groupe de cybercriminalité notoire qui a récemment fermé volontairement ses opérations de rançongiciel pour réapparaître dans le cadre d’autres sous-groupes de rançongiciel avec des motivations et des stratégies opérationnelles distinctes.
Les adversaires ont établi une plateforme TOR opérationnelle spécialement conçue pour la négociation de rançon ainsi qu’une plateforme de fuite de données nommée « Quantum Blog. »
Une cible principale du rançongiciel Quantum l’année dernière était les acteurs de l’industrie de la santé. Le groupe a réussi à infiltrer un réseau de 657 prestataires de soins de santé, entraînant le vol des informations personnelles de plus de 1,9 million de victimes.
Dans le cadre de leurs méthodes d’infiltration initiales, les adversaires ont utilisé le malware IcedID (livré par email) comme moyen d’accès, exploitant Cobalt Strike pour le contrôle à distance. Cela a finalement conduit à l’acquisition illicite d’informations sensibles et à la mise en œuvre du Quantum Locker pour le chiffrement des données.
Qu’est-ce que le Quantum Locker ?
Au cours des deux dernières années, le rançongiciel Quantum Locker a acquis une notoriété pour ses attaques rapides et décisives, ne laissant aux équipes du centre des opérations de sécurité qu’une courte période pour mettre en œuvre des mesures de réponse efficaces. Dans certains cas, les adversaires ont réussi à déployer le rançongiciel en seulement quatre heures après l’attaque.
Après être tombées victimes de la brèche, les entreprises et les individus ciblés ont une fenêtre limitée de 72 heures pour établir la communication avec les auteurs. Le non-respect de ce délai entraîne la publication des données volées sur un site Internet mentionné plus haut dans cet article, accessible pour des téléchargements gratuits par quiconque.
Pour simplifier le processus de chiffrement, le rançongiciel Quantum identifie et arrête les processus de service des bases de données, éliminant leurs restrictions d’accès au contenu précieux des bases de données et permettant au rançongiciel de les chiffrer. La procédure de chiffrement principale de Quantum utilise un exécutable .dll ou .exe, utilisant un schéma de cryptographie hybride qui emploie ChaCha20 pour le chiffrement de fichiers symétriques et une clé publique RSA-2048 pour chiffrer la clé de chiffrement symétrique ChaCha20 unique.
Utilisation d’IcedID comme accès initial
Le rançongiciel Quantum est distribué par le biais de campagnes de phishing par email ciblées, utilisant des malwares de première étape comme IcedID ou chargeur BumbleBee. Écrit en C++, BumbleBee fonctionne comme un chargeur, englobant une fonction singulière responsable de l’initialisation, du traitement des réponses et de la transmission des requêtes. Lors de l’exécution sur un appareil compromis, le malware collecte diligemment les données de la victime et les communique au serveur de commande et de contrôle (C2). IcedID (également connu sous le nom de BokBot) représente une variante relativement récente de malware classifiée à la fois comme un cheval de Troie bancaire et un cheval de Troie d’accès à distance (RAT). Remarquable pour ses capacités, IcedID se situe au même niveau que d’autres chevaux de Troie bancaires avancés comme Zeus, Gozi, et Dridex. En tant que malware de deuxième étape, IcedID dépend d’un malware de première étape précédent pour établir l’accès initial et faciliter son déploiement. Des découvertes récentes ont révélé de nouvelles variantes d’IcedID qui s’éloignent de leur fonction typique de fraude bancaire en ligne. Au lieu de cela, ces variantes privilégient l’installation de malware supplémentaire sur les systèmes compromis. Dans un éloignement notable de son mode opératoire traditionnel, IcedID a subi une évolution significative, affichant un changement dans ses objectifs. Plutôt que de cibler uniquement la fraude bancaire en ligne, ces nouvelles itérations mettent un accent accru sur l’établissement d’un point d’ancrage dans les systèmes compromis pour faciliter le déploiement d’autres charges malveillantes.
Ces charges importent le rançongiciel principal Quantum Locker et des outils supplémentaires sur les systèmes compromis.
L’email malveillant comprend un fichier image .iso, hébergeant le chargeur IcedID au format d’une DLL (dar.dll). De plus, l’email inclut un faux fichier raccourci .LNK conçu pour apparaître comme un document légitime tout en ciblant en réalité la charge utile IcedID.
Subséquemment, les attaquants s’engagent rapidement dans une reconnaissance réseau, visant particulièrement à obtenir un accès distant (RDP) aux autres hôtes du réseau. Si l’accès aux systèmes adjacents est obtenu, les attaquants transfèrent manuellement le binaire de chiffrement Quantum, ttsel.exe, dans le dossier partagé de chaque hôte.
Au cours des premières étapes d’une attaque Quantum, une gamme d’outils est employée, incluant Cobalt Strike Beacon, Rclone, l’outil de tunneling Ligolo, ProcDump, ADFind, et le service subsystem de sécurité locale (Lsass.exe) pour la reconnaissance réseau et le mouvement latéral. NPPSpy est utilisé pour dérober des données sensibles tandis que des outils vivant de la terre (LOTL) comme WMI, PsExec, et PowerShell sont exploités. Il est important de noter que les attaques Quantum reposent principalement sur des exploits manuels réalisés par des opérateurs humains plutôt que sur des scripts ou des outils automatisés complexes. L’une des techniques plus sophistiquées de Quantum, connue sous le nom de « hollowing de processus » implique l’initiation d’un processus cmd.exe et l’injection de CobaltStrike dans la mémoire du processus pour échapper à la détection. Pour maintenir des opérations discrètes, Quantum détecte et termine activement les processus associés à l’analyse de malware, tels que ProcMon, Wireshark, CND, et le gestionnaire de tâches.
Rançongiciel Quantum déployé dans des attaques réseau rapides
Ce qui distingue le rançongiciel Quantum Locker c’est sa vitesse d’exécution inégalée. En l’espace de quelques heures, les adversaires exécutent avec succès le rançongiciel, laissant aux professionnels de la sécurité un temps minimal pour répondre efficacement. Les conséquences peuvent être désastreuses, avec des données critiques prises en otage et les opérations commerciales stoppées. Contrairement à de nombreuses attaques de rançongiciel automatisées, le rançongiciel Quantum est principalement opéré par des opérateurs humains qualifiés. Cette approche manuelle permet aux attaquants d’adapter leurs techniques et d’échapper aux mesures de sécurité traditionnelles, rendant d’autant plus difficile pour les organisations de détecter et de mitiger la menace.
Les adversaires ont adopté la vitesse comme une arme puissante, exploitant rapidement les vulnérabilités et infiltrant les systèmes en quelques minutes, voire en quelques secondes. L’élément de surprise combiné à une exécution éclair s’est avéré très efficace pour les cyber-escrocs. Les conséquences des cyberattaques exécutées rapidement sont considérables. Les organisations se retrouvent à faire face à des données compromises, des opérations perturbées, et des dommages réputationnels en un temps record. De plus, le rythme accéléré de ces attaques met une pression énorme sur les équipes de sécurité, qui doivent rapidement identifier et contenir la brèche pour minimiser l’impact.
Pour aider les organisations à suivre le volume croissant et la sophistication accrue des attaques de rançongiciel Quantum, la plateforme SOC Prime offre un ensemble de règles Sigma sélectionnées pour une détection proactive. En cliquant sur le Explore Detections bouton, les équipes peuvent obtenir la liste complète des règles Sigma pertinentes mappées à MITRE ATT&CK® v12 et enrichies avec un contexte de menace cybernétique complet. Toutes les règles Sigma sont également prêtes à être déployées dans des dizaines de solutions de sécurité aidant les organisations à éviter l’enfermement propriétaire.
Contexte du Rançongiciel Quantum
Bien que Quantum Locker ne présente peut-être pas le même niveau d’activité que d’autres opérations de rançongiciel notables comme Conti, LockBit, et AVOS, il demeure une menace significative qui nécessite l’attention des défenseurs de réseau. Il est crucial de comprendre que le paysage des menaces est en constante évolution, et les groupes de rançongiciel comme le rançongiciel Quantum peuvent rapidement adapter leurs TTP pour exploiter les vulnérabilités et échapper à la détection. En maintenant une vigilance sur les techniques de Quantum Locker, les défenseurs peuvent mieux anticiper et répondre à des attaques potentielles, en mettant en œuvre des mesures de sécurité robustes, en effectuant des sauvegardes régulières, en corrigeant les vulnérabilités rapidement, et en éduquant les employés sur le phishing et autres techniques d’ingénierie sociale.
L’activité réduite de Quantum Locker pourrait être attribuée à divers facteurs, y compris des changements dans le focus opérationnel des attaquants, des priorités changeantes, ou des efforts accrus des professionnels de la cybersécurité pour perturber leurs opérations. Cependant, il est important de noter que même un petit nombre d’attaques réussies peuvent entraîner des pertes financières substantielles, des dommages réputationnels, et des perturbations opérationnelles pour les entités ciblées. Les attaques de cybersécurité rapides sont devenues une nouvelle tendance préoccupante, posant des défis significatifs aux organisations dans le monde entier. Alors que les adversaires continuent d’exploiter des vulnérabilités à une vitesse fulgurante, il est crucial pour les entreprises de renforcer leurs défenses en conséquence.
Explorer la plateforme SOC Prime pour armer votre équipe avec les meilleurs outils que chaque défenseur cybernétique devrait avoir à portée de main, peu importe leur niveau de maturité et la technologie utilisée. Fiez-vous au pouvoir de l’expertise collective de l’industrie pour bénéficier de solutions de pointe soutenues par le langage Sigma utilisé en combinaison avec le cadre MITRE ATT&CK pour permettre une défense cybernétique rentable et préparée pour l’avenir.
