Les outils de Makop Ransomware
Makop Ransomware est un groupe de rançongiciel opérant depuis 2020. Le 12 mars 2023, un article a été publié sur la plateforme de contenus Medium présentant une analyse de l’arsenal utilisé par ce groupe. Parmi ces outils figurent des logiciels développés par Makop ainsi que des programmes en sources ouvertes associés à l’écosystème chinois.
Depuis 2020, Makop mène ses campagnes en utilisant un variant du rançongiciel Phobos. Malgré une centaine d’entreprises européennes à son actif, ce groupe cybercriminel est néanmoins considéré comme un acteur cybercriminel de second plan.
Selon l’article, le groupe Makop développe également ses propres outils pour mener ses attaques. En effet, un logiciel nommé ARestore permettant de générer et tester des données d’identification Windows a été découvert en 2020. Celui-ci est habituellement utilisé par Makop après avoir obtenu un accès initial au réseau ciblé.
D’autre part, le groupe cybercriminel a personnalisé d’autres outils .NET, tels que PuffedUp, afin de maintenir une persistance sur le réseau. Cet outil utilise un fichier de configuration contenant des chaînes de 42 caractères et les copie dans le presse-papier.
En complément des outils personnalisés, Makop exploite des logiciels en sources ouvertes lors de la phase de découverte et de latéralisation. Le groupe exploite à la fois des outils communs comme PSExec, Putty et Mimikatz, mais également des logiciels plus particuliers tels qu’Advanced Port Scanner ou le moteur de recherche Everything de Windows. Quant à YDArk, un outil d’administration système disponible sur GitHub, celui-ci a également été détourné par le groupe criminel.
Il est à noter que Makop semble utiliser, lors de ses attaques, un panel d’outils n’ayant pas évolué depuis sa création.
L’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.