L’équipe X-Ops de Sophos ont repéré une campagne du groupe BlackCat visant des clients Azure. Les attaquants utilisent une nouvelle version du ransomware Sphynx, dotée d’outils d’exfiltration.
Le ransomware BlackCat refait parler de lui. Actif depuis 2021, ce groupe a été repéré courant juillet par IBM avec une nouvelle version du programme malveillant Sphynx. Les chercheurs de l’équipe X-Ops de Sophos viennent pour leur part de détecter une campagne mené par cet acteur visant des instances Azure Storage.
Selon les chercheurs de Sophos, les attaquants ont procédé en s’emparant de mots de passe à usage unique stocké dans des coffres forts numériques LastPass. Si cet éditeur a bien été victime d’un vol de données l’an dernier, ces deux attaques ne semblent toutefois pas liées puisque BackCat exploite ici l’extension LastPass de Chrome pour compromettre les authentifiants de ses cibles.
Les attaquants « ont pu accéder au portail Azure du client, où ils ont obtenu la clé Azure requise pour accéder au compte de stockage » explique l’équipe X-Ops. « L’attaquant a codé les clés en base 64 et les a insérées dans le binaire du ransomware avec des lignes de commande d'exécution » poursuit-elle. 39 comptes ont ainsi été affectés par un chiffrement réussi de leurs instances Azure Storage.
« Comme l'a noté IBM, un changement notable est que Sphynx n'a pas le paramètre -access-token comme les anciennes variantes, mais utilise désormais des clés modifiées qui incluent un ensemble d'arguments plus complexes » indique Sophos. Les cybercriminels utilisent en outre divers outils de surveillance et gestion à distance, tels que AnyDesk, Splashtop et Atera.
Enfin, cette nouvelle version de Sphynx exploite l’outil open source ImPacket, une collection de classes Python3 axées sur l'accès aux paquets réseau.