Cyber-extorsion : les ShinyHunter préparent leur ransomware

Le collectif aux contours flous des ShinyHunters, qui se fait désormais appeler « Scattered Lapsus$ Hunters » prépare-t-il un tournant ?

Il est coonu pour sa spécialité : l’ingénierie sociale, suivant le mode opératoire dit « Scattered Spider ». Elle est mise à profit pour établir des accès initiaux – jusqu’à corrompre des employés d’organisations cibles – et voler des données.

Le collectif s’est ainsi récemment illustré par une nouvelle campagne de masse, visant les clients de Salesforce GainSight, et l’appel au recrutement d’employés de grandes entreprises, notamment dans le secteur des télécommunications et des ESN. Mais aussi d’un éditeur spécialiste de la cybersécurité.

Un virage apparaît toutefois en préparation : les ShinyHunters développent leur propre rançongiciel, dit ShinySp1d3r. Nos confrères de Bleeping Computer ont mis la main sur un échantillon.

Ce ransomware a été évoqué dans la chaîne Telegram du collectif le 23 novembre. Nous avons trouvé une chaîne qui semble lui être dédiée et a été créée fin septembre.

Selon nos confrères, le rançongiciel « est développé par le groupe d'extorsion ShinyHunters, qui le construit à partir de zéro, plutôt que d'utiliser une base de code précédemment divulguée comme LockBit ou Babuk », contrairement à un grand nombre d’acteurs malveillants.

Leur ransomware serait prévu pour être notamment déployé en masse, sur un environnement compromis, via WMI et GPO. Le développement d’une version exécutable en ligne de commande serait en cours de finalisation, aux côtés de versions pour Linux et, sans surprise, ESXi.

Une « version allégée » distincte, optimisée pour la vitesse, serait en cours de développement.