Cato Networks révèle les tactiques avancées des groupes de ransomwares Hunters International et Play

Hunters International : le modèle RaaS au service de la cybercriminalité
Apparu fin 2023, ce groupe de ransomware opère sous un modèle Ransomware-as-a-Service (RaaS), offrant à d'autres cybercriminels un accès clé en main à des outils et services sophistiqués pour orchestrer leurs propres attaques. Hunters International exploite un large éventail de vecteurs d'intrusion, incluant le phishing, l'ingénierie sociale, les attaques sur la chaîne d'approvisionnement et les exploits liés au protocole RDP (Remote Desktop Protocol).
En juillet 2024, une enquête sur une entreprise technologique britannique a mis en lumière l'utilisation du malware WorkersDev comme porte dérobée initiale. Distribué via des sites malveillants spécifiquement conçus pour cibler les administrateurs IT, ce malware a permis d'établir un accès furtif au réseau.
Hunters International se distingue également par l'emploi détourné de RoboCopy, un utilitaire Windows légitime, pour copier et exfiltrer d'importantes quantités de données. Ce type de tactique, basé sur des Living-Off-the-Land Binaries (LOLBins) – des outils légitimes utilisés à des fins malveillantes – complique considérablement la détection et la neutralisation des attaques par les équipes de sécurité.

Play : des attaques ciblées et automatisées qui redéfinissent les règles
Le groupe Play se distingue par ses attaques ciblant des applications exposées sur Internet, exploitant des vulnérabilités bien connues, notamment dans FortiOS et Microsoft Exchange. En s'appuyant sur des services tels que RDP et VPN, ce groupe parvient à s'infiltrer dans les systèmes de ses victimes. Il utilise ensuite des techniques automatisées pour copier et préparer les données en vue de leur exfiltration, rendant le processus rapide et difficile à détecter.
En mai 2024, une enquête sur une entreprise américaine du secteur de la construction a révélé l'utilisation par Play d'un outil inédit baptisé GreenCollector. Ce logiciel malveillant est conçu pour exploiter le protocole SMB, facilitant ainsi le transfert de fichiers tout en automatisant leur préparation à l'exfiltration. Grâce à cette automatisation, les cybercriminels peuvent non seulement accélérer leurs opérations, mais également contourner plus facilement les contrôles de sécurité traditionnels.

“L'évolution rapide des ransomwares Hunters International et Play démontre à quel point ces attaques deviennent de plus en plus complexes et difficiles à contrer. Les résultats des recherches menées par Cato CTRL et Cato MDR confirment la nécessité d'une détection précoce et d'une protection renforcée contre ces menaces émergentes”, commentent Zohar Buber et Or Mayersohn, analystes sécurité chez Cato Network, dans leur article de blog. “Grâce à ses capacités de détection d'anomalies et de protection avancée des données, la plateforme Cato SASE Cloud permet aux entreprises de bloquer ces attaques avant qu'elles ne causent des dommages irréversibles.”

Les conclusions de Cato Networks soulignent l'importance d'une cybersécurité proactive pour contrer ces menaces en constante évolution. La plateforme Cato SASE Cloud intègre des mécanismes avancés de détection et de prévention pour bloquer ces attaques à différents niveaux :
• Surveillance des anomalies : détection des transferts inhabituels de données via SMB, un signe précurseur d'exfiltration.
• Protection contre la fuite de données (DLP) : blocage des tentatives d'envoi de fichiers sensibles vers des destinations non autorisées.
• Détection comportementale avancée : identification des schémas d'attaque et des outils utilisés par les cybercriminels.
• Recherche continue sur les menaces : veille et analyse proactive par les équipes Cato CTRL pour anticiper les nouveaux modes opératoires des ransomwares.