- Le groupe de ransomware Embargo développe et teste activement de nouveaux outils écrits en Rust.
- Les outils d'Embargo, tels que MDeployer et MS4Killer, permettent de désactiver les solutions de sécurité exécutées sur l'ordinateur de la victime.
- Embargo personnalise ses outils pour les adapter à l'environnement et aux solutions de sécurité spécifiques de chaque victime visée.
Les chercheurs d'ESET ont identifié de nouveaux outils du groupe Embargo, apparu en juin 2024. Cette boîte à outils comprend MDeployer, un chargeur, et MS4Killer, un outil de neutralisation des systèmes de détection et de réponse aux menaces (EDR). MS4Killer se distingue par sa personnalisation pour chaque victime, ciblant uniquement les solutions de sécurité choisies. Ce logiciel malveillant exploite le mode sans échec et un pilote vulnérable pour désactiver les protections de sécurité. Les deux outils sont développés en Rust, le langage de programmation préféré du groupe Embargo.
Embargo semble être un groupe bien financé, disposant de sa propre infrastructure pour communiquer avec ses victimes. Leur stratégie implique une double extorsion : ils exfiltrent les données sensibles des victimes et menacent de les publier sur un site de fuite, en plus de les chiffrer. Un représentant présumé d'Embargo a évoqué un système de paiement pour des affiliés, suggérant que le groupe opère comme un fournisseur de ransomware-as-a-service (RaaS). Jan Holman, chercheur chez ESET, estime que : « Embargo fonctionne probablement comme un fournisseur RaaS, compte tenu de sa sophistication et de l'existence d'un site de fuite typique. ».
Les différences entre les versions déployées, la présence de bugs et d'artefacts résiduels indiquent que ces outils sont en développement actif. Embargo est encore en phase de construction de sa réputation et cherche à s'établir comme un acteur majeur dans le domaine des ransomwares.
L'utilisation de chargeurs personnalisés et d'outils de suppression EDR est une stratégie courante parmi les groupes de ransomwares. MDeployer et MS4Killer sont généralement déployés ensemble et leurs liens étroits suggèrent qu'ils sont développés par le même acteur malveillant. Le développement continu de cette boîte à outils indique une maîtrise approfondie du langage Rust par cet acteur de la menace.
L'objectif principal de la boîte à outils d'Embargo est de sécuriser le déploiement du ransomware en neutralisant la solution de sécurité présente dans l'infrastructure de la victime. Le groupe consacre beaucoup d'efforts à reproduire ces fonctionnalités à différentes étapes de l'attaque. Tomáš Zvara, chercheur chez ESET, affirme avoir également observé la capacité des attaquants à ajuster leurs outils en temps réel, lors d'une intrusion active, pour s'adapter à une solution de sécurité particulière.
Pour une analyse détaillée et technique des outils d'Embargo, consultez le dernier article de blog d'ESET Research « Embargo ransomware : Rock'n'Rust » sur WeLiveSecurity.com.
Contact Presse :
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.