Bulletin sur les attaques hybrides : Découvrir Salt Typhoon - La tempête silencieuse dans les cyberattaques des opérateurs télécoms >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

Bashe

Bashe, un groupe de ransomware anciennement connu sous le nom d'APT73 ou d'Eraleig, est apparu en 2024 avec des tactiques semblables à celles de LockBit, ciblant des industries critiques dans les pays développés et recourant à l'extorsion de données par l'intermédiaire d'un site de fuite de données (DLS) basé sur Tor.

Détecter les TTP de Bashe
Votre organisation est-elle à l'abri des attaques de Bashe ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder le briefing sur les menaces

L'origine de Bashe

Bashe, précédemment connu sous le nom d'APT73 et d'Eraleig Ransomware, est apparu à la mi-avril 2024, s'identifiant initialement comme une "menace persistante avancée" (APT). Cette auto-désignation, généralement réservée à des cyberacteurs très sophistiqués et disposant de ressources importantes, semble faire partie de la stratégie de Bashe pour se présenter comme une menace crédible. On pense que Bashe est issu du groupe de ransomware LockBit, en raison des similitudes entre leurs sites de fuite de données (DLS). La structure du DLS de Bashe comprend des sections "Contact Us", "How to Buy Bitcoin", "Web Security Bug Bounty" et "Mirrors", identiques à celles que l'on trouve dans la configuration de LockBit.

Bashe opère via le réseau Tor avec une infrastructure hébergée en République tchèque. Il s'appuie sur AS9009 ASN pour l'hébergement, un réseau précédemment utilisé par plusieurs groupes malveillants et malware, dont DarkAngels, Vice Society, TrickBot, Meduza Stealer et Rimasuta. Ce choix d'infrastructure suggère que Bashe pourrait tirer parti de systèmes familiers pour échapper à la détection.

L'origine de Bashe
Cibles

Les objectifs de Bashe

Pays ciblés par Bashe

Les activités du groupe auraient touché des organisations en Amérique du Nord, au Royaume-Uni, en France, en Allemagne, en Inde et en Australie. Le fait que Bashe se concentre sur les pays développés disposant de données précieuses met en évidence son approche globale visant à maximiser le potentiel de victimisation.

Source de l'image : ransomware.live

Industries ciblées par Bashe

M. Bashe semble privilégier les secteurs à forte valeur ajoutée, notamment les technologies, les services aux entreprises, l'industrie manufacturière, les services aux consommateurs et les services financiers. Le groupe cible également les transports, la logistique, les soins de santé et la construction. Le fait de se concentrer sur ces secteurs permet à Bashe de maximiser son influence sur les demandes de rançon en ciblant les secteurs qui traitent des données sensibles ou essentielles.

Industries ciblées par Bashe

M. Bashe semble privilégier les secteurs à forte valeur ajoutée, notamment les technologies, les services aux entreprises, l'industrie manufacturière, les services aux consommateurs et les services financiers. Le groupe cible également les transports, la logistique, les soins de santé et la construction. Le fait de se concentrer sur ces secteurs permet à Bashe de maximiser son influence sur les demandes de rançon en ciblant les secteurs qui traitent des données sensibles ou essentielles.

Les victimes de Bashe

Jusqu'à présent, Bashe a touché environ 35 victimes.

Méthode d'attaque

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges
Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants
Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte
Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral
Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration
Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact
MITRE ATT&CK Mapping

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Détections de la plate-forme

Comment détecter les attaques de ransomware avec Vectra AI

Bien que les tactiques, techniques et procédures (TTP) de Bashe fassent encore l'objet de recherches, nous pouvons évaluer les activités probables sur la base de ses similitudes avec LockBit. Voici un aperçu des détections Vectra AI qui seront déclenchées dans le cas d'une attaque typique de ransomware :

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Votre organisation est-elle à l'abri des attaques de Bashe ?

Évaluez votre exposition aux attaques