Selon Trend Micro (publication de recherche), les opérateurs du ransomware Crypto24 mènent des attaques coordonnées et furtives contre des organisations de haut profil en Asie, en Europe et aux États-Unis, avec un focus sur les services financiers, la fabrication, le divertissement et la technologie.

Les acteurs combinent des outils légitimes comme PSExec et AnyDesk avec des composants personnalisés, opèrent durant les heures creuses, et adoptent une approche en plusieurs étapes: escalade de privilèges, mouvement latéral, surveillance persistante via keylogger, exfiltration de données, puis déploiement de ransomware après désactivation des solutions de sécurité.

Chaîne d’attaque détaillée:

  • Accès initial et élévation via création de comptes valides et commandes net.exe, runas/PSExec.
  • Persistance par tâches planifiées et services chargeant des charges malveillantes.
  • Reconnaissance avec WMIC; exécution distante via WMI; patch de termsrv.dll pour autoriser plusieurs sessions RDP.
  • Évasion: usage d’un variant personnalisé de RealBlindingEDR pour contourner des EDR de grands éditeurs.
  • Exfiltration intégrée au keylogger via API Google Drive.
  • Phase finale: exécution de gpscript.exe pour lancer XBCUninstaller.exe et retirer les protections Trend Micro, puis déploiement du ransomware MSRuntime.dll.

Outils et artefacts mentionnés 🧰:

  • Keylogger: WinMainSvc.dll (récolte d’identifiants, exfiltration Google Drive)
  • Ransomware: MSRuntime.dll
  • Outils/LOLBins: PSExec, AnyDesk, net.exe, runas, WMIC, WMI, gpscript.exe, XBCUninstaller.exe, termsrv.dll (patching)
  • EDR bypass: variant personnalisé RealBlindingEDR

TTPs observées (extraits) 🔎:

  • Initial access/Privilege escalation: comptes valides, net.exe, runas/PSExec
  • Lateral movement: PSExec, RDP (via patch termsrv.dll)
  • Persistence: tâches planifiées et services
  • Discovery/Reconnaissance: WMIC
  • Defense evasion: RealBlindingEDR custom, suppression des protections via gpscript.exeXBCUninstaller.exe
  • Collection/Keylogging: WinMainSvc.dll
  • Exfiltration: API Google Drive intégrée au keylogger
  • Execution/Remote command: WMI
  • Impact: déploiement du ransomware MSRuntime.dll après désactivation des EDR

Conclusion: publication de recherche détaillant une analyse de menace et la chaîne opérationnelle de Crypto24, avec un focus sur les techniques d’évasion, de mouvement latéral et le déploiement final du ransomware.

🔗 Source originale : https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html

🖴 Archive : https://web.archive.org/web/20250814091626/https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html