Votre organisation est-elle à l'abri des attaques du ransomware Arkana ?

Origine d'Arkana

Arkana est un groupe de ransomware récemment identifié qui s'est fait connaître par une attaque agressive et très médiatisée contre WideOpenWest (WOW !), un important fournisseur américain de services de câblodistribution et d'accès à large bande. Malgré son apparition récente, la sophistication opérationnelle du groupe suggère qu'il pourrait être dirigé par des cybercriminels expérimentés. Arkana utilise un modèle de ransomware en trois phases - rançon, vente et fuite - quimet l'accent sur l'extorsion et les tactiques coercitives. Le langage utilisé sur leur site Onion et dans leurs communications indique des origines ou des affiliations russes potentielles, bien que cela n'ait pas encore été vérifié de manière concluante.

Leur stratégie n'est pas seulement technique, elle est aussi psychologique et s'appuie sur des tactiques de dénigrement et sur la diffusion d'informations sur les entreprises pour accroître la pression exercée sur les victimes. L'utilisation par le groupe d'un "mur de la honte" public et la diffusion d'informations sur les cadres ayant fait l'objet d'une demande d'accès à l'information marquent une évolution vers des attaques contre la réputation dans le cadre de leur programme d'extorsion.

^{Image : SOCradar}

Cibles

Les objectifs d'Arkana

Pays ciblés par Arkana

Bien qu'aucune autre attaque n'ait été rendue publique, l'attaque d'Arkana contre WOW!-une société basée aux États-Unis- démontre leur intérêt pour les entités occidentales, en particulier nord-américaines. Leur approche suggère une volonté de défier des organisations bien établies dans des environnements hautement réglementés.

Industries ciblées par Arkana

Arkana a principalement ciblé le secteur des télécommunications et des services Internet, comme en témoigne sa première attaque connue contre WideOpenWest. Toutefois, son modèle centré sur l'extorsion et ses techniques d'exploitation des infrastructures laissent penser qu'elle est bien placée pour s'attaquer à tout secteur qui stocke de grandes quantités d'informations confidentielles et de données financières, et qui exploite des systèmes dorsaux essentiels.

Industries ciblées par Arkana

Arkana a principalement ciblé le secteur des télécommunications et des services Internet, comme en témoigne sa première attaque connue contre WideOpenWest. Toutefois, son modèle centré sur l'extorsion et ses techniques d'exploitation des infrastructures laissent penser qu'elle est bien placée pour s'attaquer à tout secteur qui stocke de grandes quantités d'informations confidentielles et de données financières, et qui exploite des systèmes dorsaux essentiels.

Les victimes d'Arkana

La seule victime confirmée à ce jour est WideOpenWest (WOW !). Le groupe a revendiqué l'accès à :

Plus de 403 000 comptes clients
Plateformes dorsales telles que AppianCloud et Symphonica
Données financières et IIP sensibles
les données personnelles des cadres, y compris les numéros de sécurité sociale, les adresses et les informations de contact

Cela indique un mouvement latéral profond et un accent mis sur les systèmes dorsaux privilégiés -permettant potentiellementle déploiement de ransomware à grande échelle sur les points de terminaison des clients.

Le groupe de ransomware Arkana affirme avoir compromis un fournisseur d'accès à Internet en Californie.

Ils ont même eu la gentillesse de réaliser un montage vidéo musical illustrant le niveau d'accès qu'ils possèdent . pic.twitter.com/3DYHFLaq5H
- vx-underground (@vxunderground) 25 mars 2025

Méthode d'attaque

Techniques d'attaque d'Arkana

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Probablement par l'exploitation de systèmes orientés vers l'internet ou d'informations d'identification compromises, éventuellement par le biais de vulnérabilités non corrigées ou de l'phishing.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Obtention d'autorisations élevées au sein de plates-formes dorsales telles qu'AppianCloud ; exploitation probable de mauvaises configurations spécifiques à la plate-forme ou de contournements d'authentification.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Il a évité d'être détecté tout en conservant un accès prolongé aux systèmes internes de WOW! ; il a peut-être désactivé la journalisation ou obscurci les schémas d'accès.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Accès à un large éventail d'informations d'identification, y compris les noms d'utilisateur, les mots de passe et les réponses aux questions de sécurité ; utilisé pour le mouvement latéral et la persistance.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Cartographie des services internes et des API (par exemple, facturation, données clients), en identifiant des cibles de grande valeur telles que Symphonica et Appian.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Propagé dans les systèmes internes, y compris les API de facturation, les systèmes de gestion de la relation client et, éventuellement, les appareils contrôlés par Symphonica.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Exfiltration d'énormes quantités de données, y compris des informations confidentielles, des données d'authentification et du code d'arrière-plan à partir de systèmes destinés aux clients.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Il a déclaré être en mesure d'envoyer des malware sur les appareils des clients par l'intermédiaire de Symphonica ; il est possible que des scripts personnalisés ou des charges utiles aient été utilisés par l'intermédiaire d'un accès en arrière-plan.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Des données ont probablement été extraites au fil du temps et utilisées dans le processus d'extorsion, y compris la publication d'échantillons et de captures d'écran aseptisés.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Diffusion publique de données volées, doxxing de cadres, atteinte à la réputation, distribution potentielle de malware aux utilisateurs finaux.

Accès Initial

Probablement par l'exploitation de systèmes orientés vers l'internet ou d'informations d'identification compromises, éventuellement par le biais de vulnérabilités non corrigées ou de l'phishing.

Élévation de privilèges

Obtention d'autorisations élevées au sein de plates-formes dorsales telles qu'AppianCloud ; exploitation probable de mauvaises configurations spécifiques à la plate-forme ou de contournements d'authentification.

Défense Evasion

Il a évité d'être détecté tout en conservant un accès prolongé aux systèmes internes de WOW! ; il a peut-être désactivé la journalisation ou obscurci les schémas d'accès.

Accès aux identifiants

Accès à un large éventail d'informations d'identification, y compris les noms d'utilisateur, les mots de passe et les réponses aux questions de sécurité ; utilisé pour le mouvement latéral et la persistance.

Découverte

Cartographie des services internes et des API (par exemple, facturation, données clients), en identifiant des cibles de grande valeur telles que Symphonica et Appian.

Mouvement latéral

Propagé dans les systèmes internes, y compris les API de facturation, les systèmes de gestion de la relation client et, éventuellement, les appareils contrôlés par Symphonica.

Collection

Exfiltration d'énormes quantités de données, y compris des informations confidentielles, des données d'authentification et du code d'arrière-plan à partir de systèmes destinés aux clients.

Exécution

Il a déclaré être en mesure d'envoyer des malware sur les appareils des clients par l'intermédiaire de Symphonica ; il est possible que des scripts personnalisés ou des charges utiles aient été utilisés par l'intermédiaire d'un accès en arrière-plan.

Exfiltration

Des données ont probablement été extraites au fil du temps et utilisées dans le processus d'extorsion, y compris la publication d'échantillons et de captures d'écran aseptisés.

Impact

Diffusion publique de données volées, doxxing de cadres, atteinte à la réputation, distribution potentielle de malware aux utilisateurs finaux.

MITRE ATT&CK Mapping

TTP utilisées par Arkana

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

T1068

Exploitation for Privilege Escalation

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

TA0006: Credential Access

T1110

Brute Force

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

T1046

Network Service Discovery

TA0008: Lateral Movement

T1210

Exploitation of Remote Services

TA0009: Collection

T1213

Data from Information Repositories

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

TA0040: Impact

T1485

Data Destruction

T1486

Data Encrypted for Impact

Détections de la plate-forme

Comment détecter Arkana avec Vectra AI

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce qu'Arkana et en quoi est-il différent des autres groupes de ransomware ?

Arkana est un groupe de ransomwares nouvellement identifié qui utilise un modèle d'extorsion en trois phases : Rançon, vente et fuite. Il combine les ransomwares traditionnels avec des attaques agressives de doxxing et de réputation.

Arkana est-elle liée à des groupes cybercriminels connus ?

Aucun lien n'a été confirmé, mais le langage et les tactiques utilisés suggèrent une origine russe ou un alignement sur les écosystèmes cybercriminels d'Europe de l'Est.

Quelle a été la portée de leur attaque contre la WOW !

Arkana affirme avoir pénétré dans l'infrastructure dorsale, exfiltré plus de 403 000 comptes clients et pris le contrôle de plateformes telles que Symphonica et AppianCloud.

Comment Arkana a-t-elle obtenu l'accès initial ?

Bien qu'elles n'aient pas été confirmées, les méthodes les plus probables sont les suivantes phishingle bourrage d'informations d'identification ou l'exploitation de systèmes publics non corrigés.

Quels types de données ont été volés ?

Les données comprennent les noms d'utilisateur, les mots de passe, les numéros de sécurité sociale, les informations sur les cartes de crédit, les détails des services, les identifiants Firebase et les préférences en matière de communication par courrier électronique.

Arkana a-t-elle déployé un véritable ransomware ?

Ils opèrent en tant que groupe d'extorsion de données, mais affirment également qu'ils peuvent envoyer des malware sur les appareils des clients, ce qui suggère que le déploiement de ransomwares est possible.

Comment les organisations peuvent-elles détecter ces attaques et y répondre ?

Mettre en œuvre des solutions de détection et de réponse aux menaces telles que Vectra AI. Surveillez les appels d'API inhabituels, les accès non autorisés et les exfiltrations de données anormales. Appliquer les principes de la zero trust et de l'AMF.

Arkana est-il toujours actif ?

Pour l'instant, leur site en oignon est opérationnel et ils n'ont cité que WOW ! comme victime, mais leur infrastructure suggère une activité continue et des attaques futures.

Quels sont les risques juridiques pour les victimes d'Arkana ?

Les victimes pourraient être confrontées à des amendes réglementaires (par exemple, HIPAA, RGPD), à des poursuites judiciaires de la part des clients concernés et à des actions collectives en raison de la nature des données volées.

Que peuvent faire les particuliers s'ils sont affectés ?

Les clients de WOW ! devraient :

Activer la surveillance du crédit
Modifier les mots de passe et les questions de sécurité
Surveiller les tentatives d'phishing et les accès non autorisés aux comptes

‍