Cet outil de piratage dangereux est maintenant en liberté et les conséquences pourraient être énormes
Une boîte à outils de post-exploitation dangereuse, d'abord utilisée à des fins de cybersécurité, a maintenant été fissurée et divulguée aux communautés de piratage.
La boîte à outils est partagée sur de nombreux sites Web différents, et les répercussions potentielles pourraient être énormes maintenant qu'elle peut tomber entre les mains de divers acteurs de la menace.
Cela pourrait être mauvais. La boîte à outils de post-exploitation en question, appelée Brute Ratel C4, a été initialement créée par Chetan Nayak. Nayak est un ancien membre de l'équipe rouge, ce qui signifie que son travail consistait à tenter de violer les sécurités d'un réseau donné, qui était activement défendu par les membres de l'équipe bleue. Ensuite, les deux équipes discutent de la façon dont cela s'est passé et s'il y a des failles de sécurité à améliorer.
Brute Ratel a été créé dans ce but précis. Il a été conçu pour être utilisé par les "équipes rouges", dans le but ultime de pouvoir exécuter des commandes à distance sur un réseau compromis. Cela permettrait alors à l'attaquant d'accéder plus facilement au reste du réseau.
Cobalt Strike est considéré comme un outil similaire à Brute Ratel, et cet outil a été fortement abusé par les gangs de ransomwares, c'est pourquoi il est assez facile à détecter. Brute Ratel n'a pas été aussi répandu jusqu'à présent, et il dispose d'un système de vérification des licences qui a principalement tenu les pirates à distance. Nayak est en mesure de révoquer la licence de toute entreprise jugée fausse ou abusant de l'outil.
Malheureusement, cela appartient désormais au passé, car une version crackée de l'outil a commencé à circuler. Il a d'abord été téléchargé sur VirusTotal dans son état non fissuré, mais un groupe russe appelé Molecules a pu le casser et supprimer entièrement l'exigence de licence. Cela signifie que maintenant, tout pirate informatique potentiel peut mettre la main dessus s'il sait où chercher.
Will Thomas, chercheur en renseignement sur les cybermenaces, a publié un rapport sur la version fissurée de l'outil. Il s'est déjà propagé à de nombreuses communautés anglophones et russophones, notamment CryptBB, RAMP, BreachForums, Exploit[.]in, Xss[.]is et les groupes Telegram et Discord.
"Il y a maintenant plusieurs messages sur plusieurs des forums de cybercriminalité les plus peuplés où les courtiers de données, les développeurs de logiciels malveillants, les courtiers d'accès initial et les affiliés de ransomware traînent tous", a déclaré Thomas dans le rapport. Dans une conversation avec Bleeping Computer , Thomas a déclaré que l'outil fonctionne et ne nécessite plus de clé de licence.
Thomas a expliqué les dangers potentiels de la technologie, en disant : « L'un des aspects les plus préoccupants de l'outil BRC4 pour de nombreux experts en sécurité est sa capacité à générer un shellcode qui n'est pas détecté par de nombreux produits EDR et AV. Cette fenêtre étendue d'évasion de la détection peut donner aux acteurs de la menace suffisamment de temps pour établir un accès initial, commencer un mouvement latéral et parvenir à persister ailleurs.
Savoir que cet outil puissant existe, entre les mains de pirates qui n'auraient jamais dû y avoir accès, est vraiment effrayant. Espérons que les développeurs de logiciels antivirus pourront renforcer les défenses contre Brute Ratel assez tôt.