Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BlackCat succède à BlackMatter et REvil en ciblant les environnements d’entreprise avec des ransomwares personnalisables à l’efficacité redoutable

avril 2022 par Kaspersky

Dans un nouveau rapport intitulé "A bad luck BlackCat", les chercheurs de Kaspersky révèlent les dessous de deux cyber-incidents dont BlackCat, un groupe spécialisé dans les ransomwares, est responsable. Fort de sa grande expérience et de la complexité du logiciel malveillant utilisé, ce collectif est devenu l’un des principaux acteurs du marché des ransomwares actuellement.

Les outils et les techniques qui ont été déployés lors de ces attaques confirment le lien entre BlackCat et d’autres groupes de ransomware tristement célèbres, tels que BlackMatter et REvil.

Spécialisé dans les ransomwares, le groupe BlackCat représente une menace depuis son apparition aux alentours de décembre 2021. Contrairement à de nombreux acteurs du ransomware, le malware de BlackCat utilise le langage de programmation Rust. Grâce aux capacités avancées de compilation croisée de ce dernier, BlackCat est capable de cibler à la fois les systèmes Windows et Linux. En d’autres termes, BlackCat est à l’origine d’avancées progressives et de changements dans les technologies qui sont utilisées pour améliorer le développement des ransomwares.

BlackCat se présente comme le successeur de groupes notoires de ransomwares tels que BlackMatter et REvil. Notre télémétrie suggère que certains membres de ce nouveau groupe ont des liens directs avec BlackMatter. En effet, ils utilisent des outils et des techniques qui avaient été largement utilisés par ce dernier.

Dans le nouveau rapport intitulé "A bad luck BlackCat", les chercheurs de Kaspersky sont revenus sur deux cyber-incidents particulièrement intéressants. L’un démontre le risque que représentent les solutions d’hébergement partagé sur le cloud, tandis que l’autre illustre une approche flexible du recyclage de logiciels malveillants qui ont été personnalisés dans le cadre des activités de BlackMatter et de BlackCat.

Le premier cas concerne une attaque contre un fournisseur d’ERP (progiciel de gestion intégré) vulnérable du Moyen-Orient qui héberge plusieurs sites. Les acteurs malveillants ont attaqué le même serveur physique sur lequel ils ont livré simultanément deux exécutables différents, ciblant deux organisations distinctes qui étaient hébergées virtuellement. Alors que le groupe pensait que le serveur infecté correspondait à deux systèmes physiques différents, il a laissé des traces, qui ont été déterminantes pour identifier le mode opératoire de BlackCat. Les chercheurs de Kaspersky ont déterminé qu’il exploite le risque que constitue le partage des actifs entre les ressources du cloud. En outre, dans ce cas précis, BlackCat a également livré un fichier batch Mimikatz ainsi que des exécutables et des utilitaires de récupération de mots de passe réseau Nirsoft. Un incident similaire avait eu lieu en 2019 lorsque REvil, qui était actif avant BlackMatter, avait semble-t-il compromis un service de cloud qui héberge un grand nombre de cabinets dentaires aux États-Unis. Il est très probable que BlackCat ait également adopté certaines de ces tactiques plus anciennes.

Le deuxième cas concerne une société pétrolière, gazière, minière et de construction d’Amérique du Sud. Il révèle le lien entre les activités de ransomware de BlackCat et de BlackMatter. Le groupe qui est à l’origine de cette attaque par ransomware (qui semble être différente de celle du cas mentionné précédemment) a non seulement tenté de diffuser le ransomware BlackCat au sein du réseau ciblé, mais il a aussi préalablement installé un utilitaire d’exfiltration personnalisé, que nous appelons "Fendr". Ce dernier, également connu sous le nom d’ExMatter, avait auparavant été utilisé exclusivement dans le cadre des activités de ransomware de BlackMatter. "Alors que REvil et BlackMatter ont mis fin à leurs activités, ce n’était qu’une question de temps avant qu’un autre groupe de ransomware ne reprenne le flambeau. BlackCat est devenu un acteur majeur sur le marché des ransomwares grâce à son expertise dans le développement de logiciels malveillants, à un nouvel échantillon écrit à partir d’une feuille blanche dans un langage de programmation atypique et à son expérience dans la maintenance des infrastructures. En analysant ces incidents majeurs, nous avons mis en évidence les principales caractéristiques, les outils et les techniques qui sont utilisés par BlackCat pour compromettre les réseaux de leurs victimes. Ces connaissances nous aident à assurer la sécurité de nos utilisateurs et à les protéger contre les menaces connues et inconnues. Nous exhortons les acteurs de la cyber sécurité à unir leurs forces et à travailler ensemble contre les nouveaux groupes de cybercriminels pour garantir un avenir plus sûr", a déclaré Dmitry Galov, chercheur en sécurité au sein de l’équipe Global Research and Analysis de Kaspersky.

Pour protéger les entreprises contre les ransomwares, les experts suggèrent aux organisations de prendre dès que possible les mesures dédiées suivantes : • Gardez les logiciels à jour sur tous les terminaux qui sont utilisés dans votre organisation afin d’empêcher les ransomwares d’exploiter les vulnérabilités.
• Formez vos employés à la protection de l’environnement informatique de l’entreprise en réalisant des sessions de formation dédiées, telles que celles qui sont fournies par la Kaspersky Automated Security Awareness Platform. Un cours gratuit sur la protection contre les attaques par ransomware est disponible ici.
• Concentrez votre stratégie de sécurité sur la détection des mouvements latéraux et l’exfiltration de données vers Internet. Portez une attention toute particulière au trafic sortant afin de détecter les connexions des cybercriminels.
• Sauvegardez régulièrement vos données et assurez-vous de pouvoir y accéder rapidement en cas d’urgence.
• Consultez les informations les plus récentes sur les menaces afin de rester au courant des TTP qui sont utilisés par les groupes de pirates.
• Utilisez des solutions telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response, qui permettent d’identifier et de stopper une attaque à ses débuts, avant même que les pirates puissent atteindre leur objectif final.




Voir les articles précédents

    

Voir les articles suivants