L'éditeur de sécurité Sophos a identifié une dernière variante du ransomware BlackCat sévissant depuis deux ans baptisée Sphynx, dotée d'une capacité de chiffrement des comptes Microsoft Azure Storage. « Sophos a vu pour la première fois la variante Sphynx en mars, peu après la publication de la nouvelle version » , a expliqué Sophos. Le fournisseur a indiqué avoir recoupé pour son analyse les informations de la division cybersécurité XForce d'IBM de mai dernier, et a par ailleurs trouvé que cette version était dotée de l'outil d'exfiltration ExMatter. BlackCat est sous le feu des projecteurs en ce moment, le cybergang ALPHV à la manoeuvre s'étant aussi fait distinguer dans le piratage MGM Resorts.

« Les auteurs malveillants ont pu accéder au portail Azure du client où ils ont obtenu la clé Azure nécessaire pour accéder au compte de stockage de manière programmatique. L'adversaire a codé les clés à l'aide de base-64 et les a insérées dans le binaire du ransomware avec des lignes de commande d'exécution comme indiqué », fait savoir Sophos. En tout 39 comptes de stockage Azure ont été ciblés avec à la clé un chiffrement réussi. Pour parvenir à leurs dans le cadre de cette intrusion, les pirates ont réussi à prendre la main sur plusieurs outils de logiciels de gestion IT (AnyDesk, Splashtop et Atera) et à accéder au compte Sophos Central de la cible employé par les clients pour gérer leurs produits de cet éditeur. Après quoi ils ont alors pu désactiver la protection contre l'intrusion et modifié les politiques de sécurité.

Des clés et un ensemble d'arguments plus complexes utilisés

Ces actions ont été possibles après avoir réussi à mettre la main sur un mot de passe à usage unique (one-time password ou OTP) stocké dans le coffre-fort à mots de passe LastPass de la victime à l'aide de l'extension LastPass Chrome. « L'adversaire a ensuite modifié les politiques de sécurité et désactivé Tamper Protection dans Central avant de chiffrer les systèmes du client et les comptes Azure Storage distants via l'exécutable du ransomware IzBEIHCMxAuKmis6.exe avec l'extension .zk09cvt. Comme l'a noté IBM, un changement notable est que Sphynx n'a pas le paramètre -access-token comme les anciennes variantes, mais utilise maintenant des clés comme -8UwUubTNYzygbQPJF -x_ -NI3_zn6Jr -U8Z -hedu5PO -CBJC7jzy -HFVmgW -DK3rdo et inclut un ensemble d'arguments plus complexes », a prévenu Sophos.

A noter que l'échantillon Sphynx comprenait également l'outil open source ImPacket et des modules tels que psexec et secretdump utilisés pour le dumping d'informations d'identification et la propagation du réseau, ce que Microsoft avait d'ailleurs déjà repéré en août dernier