Le kit d’exploitation RIG continue d’infecter les entreprises via Internet Explorer
Le kit d’exploitation RIG est actuellement au milieu de sa phase la plus productive, tentant environ 2 000 incursions par jour et réussissant environ 30 % d’entre elles, soit le meilleur taux de réussite de la longue histoire opérationnelle du service.
On a observé que le RIG EK dissémine plusieurs familles de logiciels malveillants, dont Dridex, SmokeLoader et RaccoonStealer, en exploitant des failles relativement obsolètes d’Internet Explorer.
Le kit d’exploitation continue de représenter une menace sérieuse et généralisée pour les personnes et les organisations, selon une étude approfondie de Prodaft, dont les chercheurs ont accès au panneau web dorsal du service.
L’histoire sordide du RIG EK
Lorsque RIG EK a été lancé initialement en 2014, il a été commercialisé comme un “exploit-as-a-service” que d’autres opérateurs de logiciels malveillants pouvaient louer pour diffuser leurs logiciels malveillants sur des systèmes non patchés.
Le kit d’exploitation RIG est une collection de scripts JavaScript nuisibles que les acteurs de la menace insèrent sur des sites Web piratés ou malveillants et dont ils font ensuite la publicité.
Lorsqu’un utilisateur accède à ces sites, des scripts malveillants sont exécutés et tentent de tirer parti de nombreuses failles du navigateur afin d’installer automatiquement des logiciels malveillants sur l’appareil de l’utilisateur.
Les auteurs du kit ont publié la deuxième édition majeure du kit en 2015, jetant les bases d’opérations plus importantes et plus fructueuses.
Toutefois, en 2017, une opération de démantèlement concertée qui a complètement détruit la majeure partie de l’infrastructure de RIG et sérieusement perturbé ses activités a porté un coup sérieux à l’organisation.
En 2019, RIG a fait son retour, en se concentrant cette fois sur la distribution de ransomwares, aidant à la violation d’entreprises via des charges utiles de cryptage de données des malwares Sodinokibi (REvil), Nemty et ERIS.
RIG 2.0 est revenu en 2022 avec deux nouvelles failles (CVE-2020-0674 et CVE-2021-26411 dans Internet Explorer), atteignant un taux de réussite record en matière d’intrusion, bien que le propriétaire du service ait annoncé en 2021 qu’il allait fermer.
Selon une analyse de Bitdefender datant d’avril 2022, le logiciel malveillant voleur d’informations Redline était déposé sur les victimes par RIG.
Bien que Microsoft Edge ait depuis longtemps supplanté Internet Explorer, le navigateur est encore largement utilisé par les machines professionnelles, qui sont la principale cible des attaques de RIG EK.
Volumes d’attaques actuels
Selon Prodaft, RIG EK cible actuellement 207 pays, réalisant en moyenne 2 000 attaques par jour avec un taux de réussite de 30 %. Lorsque le kit d’exploitation est réapparu avec deux nouveaux exploits, ce taux était de 22 %, selon Prodaft.
La carte thermique incluse dans la recherche révèle que l’Allemagne, l’Italie, la France, la Russie, la Turquie, l’Arabie saoudite, l’Égypte, l’Algérie, le Mexique et le Brésil sont les nations les plus touchées. Néanmoins, on trouve des victimes partout.
CVE-2021-26411, avec un taux d’exploitation réussie de 45 %, présente le taux de réussite le plus élevé, suivi de CVE-2016-0189 (29 %) et de CVE-2019-0752 (10 %).
En mars 2021, Microsoft a apporté un correctif à CVE-2021-26411, un bogue de corruption de mémoire de haute gravité dans Internet Explorer qui était provoqué par la visite d’un site Web malveillant.
Internet Explorer présente également les vulnérabilités CVE-2016-0189 et CVE-2019-0752, qui permettent l’exécution de code à distance dans le navigateur.
En février 2022, la CISA a publié un avis d’exploitation active pour CVE-2019-0752, alertant les administrateurs système de l’exploitation continue de la vulnérabilité et leur conseillant d’installer toutes les mises à niveau de sécurité disponibles.
Une variété de charges utiles malveillantes
Actuellement, Dridex est le malware le plus répandu (34 %), suivi de SmokeLoader (26 %), RaccoonStealer (20 %), Zloader (2,5 %), Truebot (1,8 %) et IcedID (1,4 %). RIG EK favorise principalement le vol d’informations et les logiciels malveillants d’accès initial.
Bien entendu, en fonction des voleurs qui décident d’utiliser le service de RIG EK, les types de logiciels malveillants qui y sont distribués changent fréquemment.
Par ailleurs, la distribution de Redline, RecordBreaker, PureCrypter, Gozi, Royal Ransomware et UrSnif a été suivie par Prodaft dans le passé.
La distribution du cheval de Troie bancaire Dridex est particulièrement intéressante car il semble que les opérateurs du RIG aient pris des mesures pour s’assurer qu’elle se déroule sans accroc.
Selon Prodaft dans le rapport, “l’administrateur du RIG avait pris des procédures de configuration manuelle supplémentaires pour garantir que le malware soit déployé sans problème.”
“Avec tous ces détails, nous concluons avec une grande confiance que le créateur du malware Dridex et les administrateurs du RIG ont un lien étroit.”
Les brèches du RIG EK peuvent entraîner des problèmes de cryptage des données, car Dridex était précédemment lié aux épidémies de ransomware Entropy.
Le RIG EK continue de représenter une menace sérieuse pour les personnes et les entreprises utilisant des logiciels obsolètes, menaçant d’infecter leurs ordinateurs avec des voleurs de données rusés qui peuvent voler des informations hautement sensibles.
Néanmoins, étant donné que Microsoft a officiellement mis fin à Internet Explorer en février 2023 et a redirigé les utilisateurs vers Microsoft Edge, l’accent mis par le RIG EK sur Internet Explorer risque de rendre le service rapidement obsolète.
French 
Italian 