Au cœur de la machine Makop : comment les cybercriminels déjouent les défenses et exploitent les faiblesses du RDP

Une nouvelle génération d’attaques par ransomware Makop fait monter les enchères en utilisant des tueurs d’antivirus et des exploits avancés pour infiltrer des organisations à l’échelle mondiale.

Tout commence par un simple mot de passe faible : un compte de bureau à distance négligé, un serveur oublié exposé à Internet. Soudain, le monde numérique d’une entreprise est pris en otage. C’est la réalité pour un nombre croissant d’organisations ciblées par Makop, un groupe de ransomware qui redouble d’ingéniosité avec de nouvelles tactiques conçues pour contourner les défenses et paralyser les entreprises avant même qu’elles ne réalisent ce qui leur arrive.

Le mode opératoire Makop : du RDP à la rançon

Makop n’est pas simplement une variante de ransomware de plus : c’est une opération professionnelle dotée d’un arsenal en évolution rapide. Les enquêtes menées par des chercheurs en sécurité ont révélé que les opérateurs de Makop sont des maîtres du pragmatisme : ils abandonnent les cibles difficiles et concentrent leur énergie là où la sécurité est la plus faible. Leur chaîne d’attaque est méthodique : d’abord, ils forcent les connexions RDP à l’aide d’outils comme NLBrute, exploitant des mots de passe faibles ou réutilisés. Une fois à l’intérieur, les attaquants scannent le réseau avec des utilitaires tels que NetScan et Advanced IP Scanner pour identifier les cibles de valeur et cartographier l’infrastructure en vue d’intrusions plus profondes.

La phase suivante est l’évasion des défenses. L’arsenal de Makop comprend une suite d’outils tueurs d’antivirus comme Defender Control et Disable Defender, conçus pour neutraliser Microsoft Defender et d’autres protections des endpoints. Le groupe emploie également des tactiques BYOVD, déployant des pilotes légitimes mais vulnérables - tels que ThrottleStop.sys et hlpdrv.sys - pour obtenir un accès au niveau du noyau et désactiver les systèmes de détection et de réponse des endpoints (EDR). Cette approche leur permet de contourner les défenses classiques avec une efficacité alarmante.

Personnalisation des attaques et portée mondiale

L’adaptabilité de Makop se manifeste dans l’utilisation d’outils spécifiques à certaines régions, comme un désinstalleur personnalisé de l’antivirus Quick Heal - un clin d’œil à leur focalisation sur les cibles indiennes, qui représentent 55 % de leurs victimes. Mais la menace ne se limite pas à une seule région ; des organisations au Brésil, en Allemagne et ailleurs ont également été touchées, souvent en raison d’une authentification laxiste et de l’absence d’authentification multifacteur (MFA).

L’élévation de privilèges est une autre spécialité de Makop. Les attaquants disposent d’un arsenal d’exploits, allant de vieilles vulnérabilités comme CVE-2017-0213 à des failles plus récentes. Cette redondance leur garantit la possibilité d’élever leurs privilèges sur pratiquement tout système Windows compromis.

Une fois le contrôle acquis, les opérateurs Makop déploient des outils de vidage d’identifiants comme Mimikatz et LaZagne, récoltant mots de passe et hachages pour se déplacer latéralement et renforcer leur emprise. Ils détournent même des applications légitimes telles que Process Hacker et IOBitUnlocker pour mettre fin aux processus de sécurité récalcitrants et préparer le terrain à l’encryptage.

GuLoader : une nouvelle arme dans l’arsenal

Dans un tournant notable, Makop a intégré GuLoader - un cheval de Troie téléchargeur plus souvent associé aux infostealers - dans sa chaîne de livraison. Cela marque un virage stratégique vers des attaques plus sophistiquées et en couches, et montre que Makop entend garder une longueur d’avance sur les défenseurs.

Conclusion : Élever le niveau de la défense contre les ransomwares

L’innovation incessante de Makop est un signal d’alarme pour toutes les organisations : la sécurité du RDP, les mises à jour régulières et une surveillance robuste ne sont plus optionnelles. À mesure que les acteurs du ransomware élèvent leur jeu, les défenseurs doivent en faire autant - car pour Makop, la chasse aux maillons faibles ne s’arrête jamais.

WIKICROOK : Glossaire

RDP (Remote Desktop Protocol): Un protocole Microsoft permettant aux utilisateurs de se connecter et de contrôler des ordinateurs distants via un réseau.
BYOVD (Bring Your Own Vulnerable Driver): Technique où les attaquants installent des pilotes légitimes mais vulnérables pour obtenir un accès profond au système et désactiver les outils de sécurité.
Élévation de privilèges: Processus consistant à obtenir des droits d’accès plus élevés sur un système, souvent en exploitant des vulnérabilités logicielles.
Vidage d’identifiants: Extraction d’informations d’authentification (comme des mots de passe et des hachages) à partir de systèmes compromis pour faciliter d’autres attaques.
GuLoader: Cheval de Troie téléchargeur de malwares utilisé pour livrer des charges malveillantes supplémentaires, dont désormais le ransomware Makop.