Un certain nombre de gangs de rançongiciels ont cessé d’utiliser des logiciels malveillants pour sécuriser les fichiers des cibles et sont passés à une méthode de vol/d’extorsion d’informations pour gagner de l’argent ; 0mega– une star du risque discrète et apparemment pas très active– semble être parmi eux.
À propos de l’opération de rançongiciel 0mega
0mega (orthographié avec un zéro) est un novice relatif à la société de ransomware/extorsion.
La preuve de ses activités a été repérée pour la première fois il y a environ un an, lorsqu’une victime – une entreprise de réparation et de réparation d’appareils électroniques basée au Royaume-Uni – a apparemment refusé de payer et le gang a divulgué des informations commerciales sur son site dédié aux fuites.
Le gang a utilisé un ransomware qui incluait l’extension « .0 mega » aux fichiers chiffrés, mais un échantillon du malware n’a pas été découvert.
Depuis lors, les données recueillies sur 2 victimes supplémentaires ont été divulguées.
Bien sûr, le fait que le site de fuite ne répertorie que quelques victimes ne signifie pas qu’il n’y en a pas eu beaucoup autres. Selon Lawrence Abrams, les informations d’une entreprise victime ont été divulguées puis éliminées.
Vol d’informations sur la compromission d’un compte SaaS = extorsion
Le groupe d’étude sur les risques d’Obsidian Security a en fait été embauché pour aider à taquiner les informations d’une attaque qui a entraîné le vol d’informations sur les propriétés Sharepoint Online d’une entreprise sans nom, et ils pensent que la star de la menace derrière l’attaque est 0mega.
Les attaquants ont d’abord compromis l’un des services d’administration Microsoft Global de l’entreprise comptes qui n’avaient pas activé l’authentification multifacteur, puis l’ont utilisé pour développer un tout nouvel utilisateur Microsoft AD appelé 0mega et lui ont ajouté diverses autorisations (Worldwide Administrator, SharePoint Administrator, Exchange Administrator, Teams Administrator ).
« Le compte de service compromis a donné les capacités d’administrateur de collection de sites de compte 0mega à plusieurs sites et collections SharePoint, tout en éliminant également les administrateurs existants. Plus de 200 opérations d’élimination d’administrateurs ont eu lieu sur une période de 2 heures », a partagé l’équipe.
0mega élimine les administrateurs existants (Source : Obsidian Security)
Le les attaquants ont ensuite exfiltré de nombreux fichiers commerciaux et publié d’innombrables fichiers texte pour attirer l’attention sur l’exfiltration de données. Ces fichiers, nommés PREVENT-LEAKAGE.txt, consistaient en des directives sur la manière d’entrer en contact avec le danger. star pour commencer les négociations de paiement (via une salle de chat sur un site Tor).
Selon les informations partagées par Obsidian avec Aid Web Security, les attaquants menacent que si le paiement (en bitcoin) n’est pas effectué, ils publiera l’information publiquement.
« Lorsque le paiement est effectué, ils disent qu’ils effaceront fermement le ‘coffre chiffré’ qui contient les fichiers pris, avec preuve via un rapport partagé avec la victime. »
Une méthode différente
« Cette technique est différente de ce qui a été observé dans la nature, où certaines entreprises ont vu leurs instances SharePoint 365 rançonnées lorsque des ennemis ont chiffré des fichiers sur l’appareil d’un utilisateur compromis ou sur un lecteur mappé puis les a synchronisés avec Sharepoint », a expliqué l’équipe.
Ils ont déclaré à Assistance Net Security que leur examen post-compromis avait eu lieu « à la fin du tout premier semestre 2023 ».
Ils ne comprennent pas que les qualifications du compte de service piraté ont été compromises ou si l’entreprise a finalement payé la rançon.
Mais ils disent que les comptes, les installations, etc. « suggèrent que les opérateurs 0mega reconnus ont effectué cette opération », et ont lancé des indications de compromis pour aider d’autres organisations à contrecarrer des attaques potentielles.
Toute l’actualité en temps réel, est sur L’Entrepreneur
