Cisco Talos a découvert une attaque sophistiquée sur des infrastructures critiques orchestrée par ToyMaker et Cactus. Les attaquants ont utilisé le backdoor LAGTOY pour mener un schéma de double extorsion. L’attaque a été qualifiée de ‘relentless’, suggérant une campagne soutenue et agressive. Les détails spécifiques de l’infrastructure ciblée et les conséquences de l’attaque ne sont pas mentionnés dans l’extrait.

En 2023, les chercheurs de Cisco Talos ont mis au jour une compromission à grande échelle d’une entreprise d’infrastructure critique. L’un des acteurs identifiés dans l’enquête est un courtier d’accès initial surnommé ToyMaker.

ToyMaker est un acteur opportuniste motivé par l’argent, qui exploite des systèmes vulnérables exposés à Internet afin de pénétrer les réseaux d’entreprise. Il ne réalise pas directement les attaques destructrices, mais revend ou transfère l’accès à d’autres groupes criminels plus agressifs.

🛠️ Tactiques et techniques utilisées

Voici comment ToyMaker opère :

  • Il exploite des vulnérabilités connues pour obtenir un accès initial.
  • Une fois dans le système, il déploie une porte dérobée appelée LAGTOY, capable de lancer des shells inversés et d’exécuter des commandes sur les machines infectées.
  • Il utilise Magnet RAM Capture pour extraire des identifiants stockés en mémoire.
  • Il crée des comptes utilisateurs fictifs pour maintenir l’accès à long terme et faciliter les déplacements latéraux.

🔗 Collaboration avec le groupe de ransomware Cactus

Après avoir sécurisé l’accès initial, ToyMaker transfère ce contrôle au groupe de ransomware Cactus, qui :

  • Réalise une cartographie complète du réseau ciblé.
  • Installe des outils de gestion à distance tels que eHorus, RMS et AnyDesk.
  • Crée d’autres comptes malveillants pour renforcer sa persistance.
  • Supprime les sauvegardes internes (shadow copies) et altère les réglages du système pour empêcher toute restauration des fichiers.

🧠 Rôle distinct des deux acteurs

  • ToyMaker agit comme un fournisseur d’accès initial (Initial Access Broker – IAB), sans chercher à étendre sa présence ou à voler des données.
  • Cactus se charge ensuite de l’attaque proprement dite : exfiltration, déploiement du ransomware, et extorsion.

🛡️ Conseils de protection

  • Surveiller l’activité réseau inhabituelle et les accès externes suspects.
  • Mettre à jour rapidement les systèmes vulnérables pour réduire la surface d’attaque.
  • Contrôler l’usage des outils de prise en main à distance et auditer leur installation.
  • Maintenir des sauvegardes hors ligne régulières et tester les procédures de restauration.

🔗 Source originale : https://blog.talosintelligence.com/introducing-toymaker-an-initial-access-broker/