Maze : plusieurs groupes aux commandes derrière le ransomware

Pitney Bowes vient d’allonger la liste des victimes du ransomware Maze. Ou du moins en partie. Le transporteur assure que les cyberdélinquants ne sont pas parvenus à chiffrer les systèmes ni les données : « notre équipe et nos outils de sécurité ont identifié et arrêté les attaquants avant qu’ils ne soient capables de chiffrer quelques données ou services ».
Toutefois, les assaillants ont eu le temps d’accéder à « un éventail limité de partages de fichiers corporate ». Pitney Bowes avait déjà été frappé par Ryuk à l’automne dernier. Certains enseignements semblent avoir été retirés de la mésaventure, mais probablement pas encore assez.

Mais que s’est-il passé ? Bad Packets Report souligne que Pitney Bowes exposait un système Citrix Netscaler affecté par la vulnérabilité CVE-2019-19781 jusqu’au 11 janvier dernier. Récemment, évoquant la compromission de Cognizant par Maze, Vitali Kremez, de SentinelOne, recommandait une attention tout particulièrement sur les vecteurs d’attaque du groupe, « dont les services RDP et distants ».

Au mois de février, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) évoquait une distribution, « initialement », « au travers de sites piégés à l’aide d’exploit kit et aux couleurs de fausses plateformes d’échange de cryptomonnaie ».
Mais depuis l’automne, pour l’Anssi, il fallait compter avec des « campagnes de courriels malveillants » utilisées pour « délivrer des codes CobaltStrike téléchargeant le rançongiciel ». L’agence s’appuyait notamment sur les recherches de Proofpoint pour indiquer que « Maze est opéré par au moins un groupe cybercriminel spécialisé dans le Big Game Hunting », TA2101. Et la prudence était sans doute pleinement justifiée.

Fortes de leurs observations, les équipes Mandiant de FireEye distinguent en fait trois « groupes » exploitant Maze, ou plutôt trois profils d’attaquants différents suivant leurs techniques et leurs tactiques. L’un d’entre eux renvoie au groupe FIN6, aussi appelé Skeleton Spider. Une surprise pour un groupe plutôt connu pour ses attaques sur les systèmes de point de vente. Mais Andrew Thompson, de Mandiant, indique l’observation d’un « sous-cluster de FIN6 qui a déployé différents ransomwares au cours de l’an passé ».

Sur les trois profils d’assaillants distingués pour Maze, un seul utilise le courrier électronique, par hameçonnage et pièce jointe, pour compromettre ses cibles. Les deux autres misent sur les services réseau exposés sur Internet, et l’utilisation de comptes aux identifiants compromis. Les points communs ne manquent toutefois pas : Cobalt Strike apparaît largement sollicité, mais l’on retrouve aussi des outils tels que Metasploit pour le déplacement latéral ou Bloodhound pour la reconnaissance.

Kroll ajoute à cela des observations qui encouragent une prudence plus que renforcée. Car chiffrement ou pas, les acteurs malveillants déployant Maze ne se privent pas de collecter des données sensibles, « entre 100 Go et 1 To de données, se concentrant spécifiquement sur les données propriétaires ou sensibles » susceptibles d’être utilisées pour faire pression sur la victime.
Et justement, en la matière, si la divulgation publique via un site Web dédié est largement connue, Kroll évoque également un cas où les cybertruands ont directement envoyé des courriels aux patients d’un établissement de santé attaqué.