Makop ransomware : GuLoader et élévation de privilèges ciblant des entreprises indiennes

Auteurs : Ilia Dafchev, Darrel Virtusio

Résumé

Makop, une souche de ransomware dérivée de Phobos, continue d'exploiter les systèmes RDP vulnérables tout en ajoutant de nouveaux composants à sa boîte à outils traditionnelle, tels que des exploits d'élévation de privilèges locaux et des malware chargeurs.

En règle générale, l'attaque débute par l'exploitation du protocole RDP, suivie de la réaffectation de scanners réseau, d'outils de déplacement latéral et d'exploits d'élévation de privilèges. Elle se poursuit par le chiffrement ou s'arrête si les attaquants ne parviennent pas à contourner la solution de sécurité en place.

Les attaquants utilisent un ensemble d'outils disponibles sur le marché, notamment des scanners réseau, des outils de désactivation des antivirus et de nombreux exploits d'élévation de privilèges locaux, ainsi que des noms de fichiers trompeurs pour éviter d'être détectés.

GuLoader, un cheval de Troie de type téléchargeur, est utilisé pour livrer des charges actives secondaires, ce qui indique une évolution de la méthodologie de Makop. Celle-ci intègre désormais davantage de techniques pour contourner les mesures de sécurité et des mécanismes de livraison de malware supplémentaires.

La majorité des attaques (55 %) ciblent des organisations en Inde, mais des incidents sont également signalés au Brésil, en Allemagne et dans d'autres régions.

Introduction

Makop est une souche de ransomware apparue pour la première fois vers 2020 et en règle générale considérée comme une variante de la famille Phobos. Récemment, les chercheurs d'Acronis TRU ont identifié de nouvelles activités et de nouveaux outils associés à Makop, ce qui a conduit à une enquête plus approfondie sur plusieurs cas récents de ransomware afin de mieux comprendre comment ses opérateurs mènent leurs attaques.

Il est apparu que les attaquants préfèrent travailler simplement en fournissant le moindre effort. La plupart des victimes ont été compromises via RDP. Les attaquants utilisent ensuite fréquemment des outils standard pour la découverte et le déplacement latéral, tels que des scanners réseau, des exploits d'élévation de privilèges locaux (local privilege escalation, LPE), des outils de désactivation des antivirus (comme des pilotes vulnérables), des terminateurs de processus, des logiciels de désinstallation ciblés, des outils d'accès aux informations d'identification (tels que Mimikatz), et d'autres étapes de la chaîne de destruction.

Il est intéressant de constater leur collection d'exploits d'élévation de privilèges locaux et, à quelques reprises, l'utilisation de GuLoader. GuLoader est un malware de type téléchargeur, découvert pour la première fois fin 2019, et connu pour livrer différents types de malware de deuxième phase. Il est connu pour installer des malwares tels que AgentTesla, FormBook, XLoader, Lokibot et d'autres.

Le guide tactique de Makop

Les attaques de Makop suivent en règle générale un modèle familier. Les auteurs de ransomwares obtiennent un premier accès en exploitant des services de protocole de bureau à distance (RDP) accessibles au public et non sécurisés. Ils utilisent en principe des attaques en force ou par dictionnaire pour pirater des identifiants faibles ou réutilisés. Une fois à l'intérieur, les attaquants mettent en place leurs outils pour analyser le réseau, élever leurs privilèges, désactiver les logiciels de sécurité, récupérer les identifiants, puis finalement déployer le chiffreur.

Après la phase initiale de réaffectation, les attaquants procèdent à la découverte, à l'évasion des défenses, à l'escalade des privilèges et au déplacement latéral, bien que ces phases ne se déroulent pas toujours dans un ordre précis. Dans certains cas, les attaquants abandonnent lorsque leurs outils sont détectés par la solution de sécurité. Ils déploient pourtant parfois des efforts supplémentaires pour contourner la solution de sécurité en utilisant des versions de ces mêmes outils, compressés par VMProtect, ou en la désactivant, soit en tentant de la désinstaller manuellement, soit en utilisant des outils de piratage. S'ils échouent également à ce stade, ils abandonnent et laissent la victime.

Le schéma ci-dessous illustre la chaîne d'exécution observée lors des attaques récentes des opérateurs Makop.

La boîte à outils Makop

L'outil Makop est le plus souvent déposé soit dans des partages RDP montés en réseau (comme « \\tsclient\ »), soit dans le répertoire Musique de l'utilisateur. Cependant, dans certains cas, les attaquants ont également utilisé les dossiers Téléchargements, Bureau, Documents ou le root (superutilisateur) du lecteur C:. Les sous-dossiers étaient souvent nommés « Bug » ou « Exp ». Le binaire de chiffrement lui-même utilise en principe l'un des noms de fichiers suivants : bug_osn.exe, bug_hand.exe, 1bugbug.exe, bugbug.exe, taskmgr.exe, mc_osn.exe, mc_hand.exe, ainsi que des variantes de ces noms précédées d'un point (par ex., « .taskmgr.exe »).

Accès initial

Les opérateurs de Makop sont connus pour exploiter des identifiants RDP faibles afin d'accéder à l'environnement des victimes. Le protocole RDP est un moyen privilégié par les cybercriminels pour compromettre les organisations, car nombre d'entre elles utilisent encore des identifiants faibles et ne disposent pas d'authentification multifacteur, ce qui les rend vulnérables aux attaques en force, une tactique courante des groupes de ransomwares.

Nous avons, au cours de notre enquête, spécifiquement repéré l'utilisation de NLBrute. Il s'agit d'un ancien outil de piratage qui était vendu sur les forums de cybercriminalité en 2016. Peu de temps après son lancement, une version piratée de NLBrute est apparue, ce qui a largement contribué à sa popularité auprès des cybercriminels.

NLBrute a besoin d'informations telles qu'une liste d'adresses IP cibles dont le port RDP est exposé (souvent le port par défaut 3389, mais il peut être personnalisé), ainsi que des listes de noms d'utilisateur et de mots de passe connus, afin de mener des attaques en force comme des attaques par dictionnaire ou par pulvérisation de mots de passe. Bien que l'exploitation de RDP ne soit pas la technique d'intrusion la plus sophistiquée, elle reste l'une des plus efficaces pour permettre les attaques par ransomware. Une fois que les opérateurs de Makop ont réussi à accéder au système via RDP, ils peuvent commencer à se déplacer latéralement dans l'infrastructure de l'organisation et maximiser son impact.

Analyse du réseau et déplacement latéral

Plusieurs outils de découverte et de déplacement latéral sont apparus dans notre télémétrie. NetScan a été le plus souvent utilisé, Advanced IP Scanner servant d'alternative dans d'autres cas.

Advanced IP Scanner analyse les réseaux locaux afin d'identifier les hôtes actifs et les services ouverts, aidant ainsi les attaquants à cartographier les cibles pour un déplacement latéral.

Les acteurs malveillants ont combiné ces outils avec Advanced Port Scanner et Masscan pour l'analyse des ports. Ces outils sont couramment utilisés par les acteurs malveillants pour inventorier le réseau et l'infrastructure, et localiser les hôtes et services de grande valeur afin de faciliter les activités de déplacement latéral. Ces outils sont non seulement très efficaces, mais ils peuvent également se fondre dans les activités administratives légitimes.

Contournement des défenses

Plusieurs outils de désactivation des antivirus ont été repérés par les opérateurs, notamment Defender Control et Disable Defender, utilisés pour désactiver Windows Defender. Ces deux outils sont à la fois légers et efficaces pour temporairement désactiver les fonctionnalités de Microsoft Defender.

Contournement des défenses

Les techniques BYOVD sont également exploitées en utilisant des pilotes vulnérables tels que hlpdrv.sys et ThrottleStop.sys. ThrottleStop.sys est un pilote, légitime et signé, développé par TechPowerUp pour l'application ThrottleStop, un utilitaire conçu pour surveiller et corriger les problèmes de limitation du processeur. La vulnérabilité ThrottleStop (CVE-2025-7771) provient de la manière dont le pilote gère l'accès à la mémoire. Les attaquants peuvent exploiter cette vulnérabilité pour prendre le contrôle du système, ce qui peut entraîner la désactivation des outils de sécurité.

Un autre pilote vulnérable est hlpdrv.sys. Ce pilote, lorsqu'il est enregistré en tant que service, est connu pour obtenir un accès au niveau du noyau et potentiellement mettre fin aux solutions EDR. Ces deux pilotes ont déjà été utilisés lors de précédentes campagnes de ransomware, notamment par MedusaLocker, Akira et Qilin.

Nous avons également découvert que les auteurs de la menace avaient déployé un logiciel de désinstallation sur mesure pour supprimer Quick Heal AV. Quick Heal AV est un antivirus et un produit de sécurité des terminaux de Quick Heal Technologies (Inde) qui offre une protection contre les malwares à ses clients, autant particuliers que professionnels.

Élévation des privilèges

Plusieurs vulnérabilités d'élévation de privilèges locaux (LPE), allant des plus anciennes aux plus récentes, ont été exploitées.

CVE-2016-0099

CVE-2017-0213

CVE-2018-8639

CVE-2019-1388

CVE-2020-0787

CVE-2020-0796

CVE-2020-1066

CVE-2021-41379

CVE-2022-24521

Les vulnérabilités exploitées dans ces cas concernent des composants Windows, tels que BITS, Win32k, les pilotes KS/SMB, les programmes d'installation Windows, les IOCTL fournisseurs, etc. Les opérateurs de Makop ont exploité ces vulnérabilités spécifiques, car elles ciblent toutes la même plate-forme. Nombre d'entre elles disposent de preuves de concept (PoC) accessibles au public, ce qui facilite leur utilisation à des fins malveillantes. Elles permettent également d'obtenir des privilèges système de manière fiable, ce qui est précisément ce dont les ransomwares ont besoin pour maximiser leur impact. L'éventail des vulnérabilités CVE exploitées révèle également que le groupe conserve plusieurs primitives LPE dans sa boîte à outils, afin de pouvoir s'y rabattre en cas d'échec. Selon nos données de télémétrie, les vulnérabilités CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 et CVE-2016-0099 figuraient parmi les plus fréquemment exploitées par les attaquants, ce qui indique leur fiabilité et leur efficacité dans les attaques.

Accès aux identifiants

Les attaquants utilisent des outils de récupération d'identifiants et des méthodes de force brute pour collecter des données sensibles. Ils utilisent des outils tels que Mimikatz, LaZagne et NetPass pour extraire les mots de passe enregistrés, les identifiants mis en cache et les clés d'authentification. Ils utilisent également des outils de force brute tels que CrackAccount et AccountRestore pour accéder à d'autres comptes. Les identifiants volés permettent un déplacement latéral et donnent aux attaquants l'accès à davantage de systèmes au sein de l'infrastructure de la victime, ce qui accroît l'impact du ransomware. De nombreux groupes de ransomwares suivent le même schéma, ce qui souligne l'efficacité de ces outils pour atteindre les objectifs des attaquants.

Parmi les outils de récupération d'identifiants, Mimikatz est le plus utilisé. Cet outil post-exploitation extrait les informations d'identification directement de la mémoire de Windows, notamment les mots de passe en clair, les hachages NTLM, les tickets Kerberos et d'autres informations sensibles gérées par l'autorité de sécurité locale (Local Security Authority, LSA).

Parallèlement, LaZagne complète Mimikatz en se concentrant sur les identifiants stockés localement dans les applications. Cet outil open source prend en charge les navigateurs, les profils Wi‑Fi, les clients de messagerie, les bases de données et les enregistrements d'identifiants Windows.

La restauration de mots de passe réseau (NetPass) vise les identifiants liés au réseau, permettant de restaurer les mots de passe des lecteurs mappés, des connexions VPN, des sessions de bureau à distance et d'autres fonctionnalités réseau de Windows. Cela permet aux attaquants de rapidement accéder aux mots de passe enregistrés par le système d'exploitation.

Enfin, d'autres outils de force brute, comme AccountRestore, fonctionnent différemment des outils de restauration d'identifiants mentionnés précédemment. Ces outils testent plusieurs combinaisons de mots de passe pour accéder aux comptes.

GuLoader

Outre les outils mentionnés ci-dessus, il est arrivé que GuLoader soit déposé dans le même répertoire que d'autres outils et utilisé pour livrer des charges actives supplémentaires. L'utilisation de chargeurs pour déployer des ransomwares est une tactique courante parmi les groupes de ransomware. Des groupes de ransomwares tels que Qilin, Ransomhub, BlackBasta et Rhysida ont déjà utilisé des chargeurs lors de campagnes précédentes, mais il semble que ce soit la première fois que Makop est distribué via un chargeur.

Une fois GuLoader installé avec succès sur le système, il pourra déployer ses charges actives.

Chemin d'accès au fichier

Ligne de commande

Description

%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe

“%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe”

L'exécution de GuLoader dépose un script VBS pour installer le malware.

%WINDIR%\System32\WScript.exe

"%USERPROFILE%\Music\1\BUG\67138435cf99c.vbs”

Installation de GuLoader

%USERPROFILE%\Music\1\BUG\.mc_fxt.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_n1tro.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_p1z.exe

Ransomware Makop

Pays victimes

La majorité des organisations attaquées (55 % de toutes les attaques Makop) étaient situées en Inde, avec des proportions plus faibles au Brésil et en Allemagne, et des incidents isolés dans d'autres pays. Cette répartition ne signifie pas nécessairement que Makop cible un pays en particulier plus que les autres, mais pourrait être le résultat d'un plus grand nombre d'entreprises ayant une posture de sécurité plus faible. Les opérateurs de Makop semblent agir de manière opportuniste, en se concentrant sur les réseaux dont les faiblesses réduisent l'effort nécessaire pour l'entrée initiale, la compromission ultérieure et le chiffrement.

Conclusion

Les campagnes de ransomware Makop mettent en évidence la menace que représentent les attaquants qui exploitent des vulnérabilités bien connues et des pratiques de sécurité insuffisantes. En exploitant les systèmes RDP exposés et une gamme d'outils disponibles sur le marché, allant des scanners réseau aux exploits d'élévation de privilèges locaux, les attaquants démontrent une approche demandant peu de moyens mais très efficace. L'intégration de techniques telles que l'utilisation de GuLoader pour la livraison de charges actives secondaires et l'adaptation des tactiques en fonction des régions ciblées souligne la nécessité pour les organisations d'adopter des mesures de sécurité fiables, notamment une authentification forte et une gestion régulière des correctifs.

Dans l'ensemble, des points d'entrée apparemment banals, tels qu'un RDP non sécurisé, peuvent être à l'origine d'importantes violations. Les organisations du monde entier, en particulier celles présentant des failles de sécurité connues, doivent continuellement réévaluer et renforcer leurs défenses contre les ransomwares et autres cybermenaces.