Team Cymru a découvert un répertoire ouvert sur un serveur Beast Ransomware exposant l’intégralité de la chaîne d’attaque des opérateurs, de la reconnaissance à l’exfiltration.

🔍 Contexte

En mars 2026, Team Cymru a publié une analyse technique détaillée d’un serveur appartenant aux opérateurs du ransomware Beast, découvert via leur système de collecte NetFlow et Open Ports. L’adresse IP 5.78.84.144 hébergée chez Hetzner (AS212317) exposait un répertoire ouvert sur le port 8000 contenant l’ensemble de la boîte à outils des attaquants.

🎯 À propos de Beast Ransomware

  • Beast est un Ransomware-as-a-Service (RaaS) promu sur le forum underground RAMP depuis juin 2024
  • Successeur présumé de Monster Ransomware (apparu sur RAMP en mars 2022)
  • Cible les systèmes Windows, les NAS et les hyperviseurs VMware ESXi
  • Évite délibérément les pays de la CEI (Russie, Biélorussie, Moldavie)
  • Opérations suspendues en novembre 2025, reprises en janvier 2026, avec plusieurs victimes publiées sur BEAST LEAKS (site Tor)

🛠️ Chaîne d’attaque reconstituée

Reconnaissance & cartographie réseau

  • Advanced IP Scanner, Advanced Port Scanner : cartographie des ports RDP/SMB
  • Everything.exe : localisation rapide de fichiers sensibles
  • FolderSize-x64 : identification des serveurs contenant le plus de données

Vol de credentials

  • Mimikatz, LaZagne, Automim : extraction de mots de passe depuis la mémoire et les navigateurs
  • enable_dump_pass.reg : activation de WDigest pour stocker les mots de passe en clair
  • Kerberos.ps1 : Kerberoasting pour extraire des tickets de comptes de service

Persistance

  • AnyDesk : outil RMM utilisé pour persister discrètement (non bloqué par défaut par les EDR/AV)

Mouvement latéral

  • PsExec : exécution de commandes à distance
  • OpenSSH for Windows : création de tunnels sécurisés

Exfiltration

  • MEGASync (Mega.nz) : exfiltration de grandes quantités de données
  • WinSCP, Klink : transfert via SFTP et autres protocoles

Impact final

  • disable_backup.bat : suppression des Volume Shadow Copies et désactivation des sauvegardes Windows
  • CleanExit.exe : effacement des logs et des outils post-chiffrement
  • encrypter-windows-cli-x86.exe et encrypter-linux-x64.run : binaires de chiffrement pour Windows et Linux/ESXi

📦 IOCs

L’article fournit 7 hashes SHA256 issus de soumissions sandbox open source, ainsi que la liste complète des fichiers présents dans le répertoire ouvert.

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Team Cymru visant à documenter les TTPs et l’outillage complet des opérateurs Beast Ransomware, à partir d’une découverte proactive d’infrastructure.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Beast Ransomware (cybercriminal)

TTP

  • T1595 — Active Scanning (Reconnaissance)
  • T1046 — Network Service Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.005 — OS Credential Dumping: Cached Domain Credentials (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1112 — Modify Registry (Defense Evasion)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1570 — Lateral Tool Transfer (Lateral Movement)
  • T1072 — Software Deployment Tools (Execution)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1133 — External Remote Services (Persistence)

IOC

  • IPv4 : 5.78.84.144
  • Domaines : mega.nz
  • SHA256 : 6718cb66521a678274e5672285bf208eac375827d622edcf1fe7eba7e7aa65e0
  • SHA256 : 479d0947816467d562bf6d24b295bf50512176a2d3d955b8f4d932aea2378227
  • SHA256 : cc0680de960f3e1b727b61a42e59f9c282bd8e41fe20146ed191c7f4bf9283a7
  • SHA256 : cf5c45be416d1b18dd67ffa95c6434691f1f9ba9c30754fa6fc9978c1f975750
  • SHA256 : 2ce62601491549ab91c9517e0accf3286ed29976f6ec359d31ddc060a8d99eb3
  • SHA256 : 812df0efea089b956d08352ff0a7e8789d43862dc3764f4441d4e1c1d1fb7957
  • SHA256 : 5bd8f9cbd108abc53fb1c44b8d10239a2a0a9dd20c698fd2fb5dc1938ae7ba96
  • Fichiers : Advanced_IP.exe
  • Fichiers : Advanced_Port_Scanner_2.5.3869.exe
  • Fichiers : AnyDesk.exe
  • Fichiers : automim.rar
  • Fichiers : CleanExit.exe
  • Fichiers : comands.bat
  • Fichiers : dell%20logs.cmd
  • Fichiers : delllogs.cmd
  • Fichiers : disable_backup.bat
  • Fichiers : enable_dump_pass.reg
  • Fichiers : encrypter-linux-x64.run
  • Fichiers : encrypter-linux-x86.run
  • Fichiers : encrypter-windows-cli-x86.exe
  • Fichiers : encrypter-windows-gui-x86.exe
  • Fichiers : Everything.exe
  • Fichiers : FolderSize-2.6-x64.msi
  • Fichiers : Kerberos.ps1
  • Fichiers : klink.exe
  • Fichiers : klink27.bat
  • Fichiers : lazagne.bat
  • Fichiers : LaZagne.exe
  • Fichiers : laZagne_x86.exe
  • Fichiers : libcrypto.dll
  • Fichiers : log.ps1
  • Fichiers : low.exe
  • Fichiers : low64.exe
  • Fichiers : MEGAsyncSetup64.exe
  • Fichiers : mimikatz.exe
  • Fichiers : netscan.exe
  • Fichiers : netscan.msi
  • Fichiers : netscan.rar
  • Fichiers : netscan.xml
  • Fichiers : netscan.xml.exe
  • Fichiers : netscanold.exe
  • Fichiers : netscanold.xml
  • Fichiers : Pass-The-Hash_RDP.bat
  • Fichiers : PsExec.exe
  • Fichiers : runPsE.bat
  • Fichiers : ssh.exe
  • Fichiers : TimeoutRun.bat
  • Fichiers : Un.exe
  • Fichiers : winrar-x64-701.exe
  • Fichiers : WinSCP-6.5.3-Setup.exe

Malware / Outils

  • Beast Ransomware (ransomware)
  • Mimikatz (tool)
  • LaZagne (tool)
  • Automim (tool)
  • AnyDesk (tool)
  • PsExec (tool)
  • OpenSSH (tool)
  • MEGASync (tool)
  • WinSCP (tool)
  • Klink (tool)
  • Advanced IP Scanner (tool)
  • Advanced Port Scanner (tool)
  • Everything (tool)
  • SoftPerfect NetScan (tool)
  • CleanExit (tool)

🔗 Source originale : https://www.team-cymru.com/post/beast-ransomware-server-toolkit-analysis