Qu'est-ce que le ransomware BlackCat ?

Le ransomware BlackCat, également connu sous le nom de ransomware Noberus ou ALPHV, est un type de malware créé par un groupe de cybercriminels russophones. On pense que plusieurs membres de ce groupe sont liés à Darkside et BlackMatter, deux groupes de ransomware désormais disparus. Depuis sa première apparition en 2021, BlackCat est devenu l'une des formes les plus actives de ransomware. Une nouvelle variante appelée « Sphynx » est censée fonctionner encore plus rapidement et efficacement. BlackCat est rédigé dans le langage de programmation Rust et est plus difficile à supprimer que d'autres types de menaces liées aux ransomwares. Les victimes des attaques de ransomware BlackCat incluent des entreprises des domaines de la construction, de la fabrication, de l'énergie, des soins de santé, de la technologie, et de la vente au détail.

Les acteurs malveillants utilisant BlackCat obtiennent un accès initial aux environnements informatiques et aux comptes utilisateur par différents biais, notamment les protocoles de bureau à distance, les informations d'identification compromises et les vulnérabilités du serveur Exchange. Certains utilisent des annonces Google faisant la promotion de faux liens de téléchargements de logiciels populaires ; lorsque les utilisateurs cliquent sur un lien, ils téléchargent des logiciels malveillants plutôt que des logiciels légitimes. Une fois que la charge utile du logiciel malveillant a infecté des terminaux au sein d'un réseau, les cybercriminels l'utilisent pour crypter des fichiers et des données sur des serveurs et des machines individuelles, empêchant ainsi les utilisateurs d'y accéder. Les groupes BlackCat peuvent également exfiltrer des données sensibles avant de les chiffrer, ce qui permet aux groupes de menacer d'exposer les données à moins que la rançon ne soit payée.

La famille de ransomwares BlackCat est distincte des autres types d'attaques par ransomware pour plusieurs raisons clés.

• Le ransomware en tant que service. BlackCat fonctionne sur un modèle de ransomware en tant que service (RaaS), où les créateurs de programmes malveillants permettent à d'autres groupes de l'utiliser, collectant un pourcentage de la rançon en retour.
• Des gains plus élevés. Les pirates derrière BlackCat offrent un paiement de 80 % à 90 % aux affiliés criminels utilisant le logiciel, plus élevé que le paiement typique de 70 %.
• Un nouveau langage de programmation. BlackCat est la première souche de ransomware écrite en Rust, un langage de programmation rapide, stable et sécurisé pouvant être exécuté à la fois sur des systèmes Windows et non Windows tels que Linux et des machines virtuelles dans des instances VMware. À ce jour, peu de formes de programmes malveillants ciblent les systèmes basés sur Linux, de sorte que les équipes de sécurité gérant des environnements basés sur Linux sont peut-être moins préparées à répondre à cette cyberattaque dévastatrice. Comme de nombreuses solutions de sécurité sont moins efficaces pour analyser les menaces écrites en Rust et dans d'autres langages de programmation récents, BlackCat est plus difficile à reconnaître et à atténuer pour certains outils de sécurité.
• Personnalisable. Les opérateurs de BlackCat peuvent personnaliser le ransomware pour qu'il fonctionne dans différents systèmes d'exploitation, offrant ainsi un éventail plus large de cibles possibles. Les opérateurs peuvent choisir entre différents algorithmes de cryptage, personnaliser la note de rançon, spécifier les fichiers à ignorer et choisir des services et des processus spécifiques auxquels mettre fin.
• Triple menace. Les acteurs malveillants utilisant BlackCat emploient souvent des tactiques d'extorsion triple, exigeant une rançon pour décrypter les fichiers infectés, pour ne pas publier de données volées et pour ne pas lancer d'attaque par déni de service (DoS) ou par déni de service distribué (DDoS) contre la victime.
• Site de fuite de données public. Le groupe derrière BlackCat a créé un site Web sur l'Internet public, où les données des attaques réussies ont été divulguées. Cela augmente la visibilité des opérations de ransomware BlackCat parmi les cybercriminels et rend les victimes plus enclines à succomber à l'extorsion et à payer la rançon.

Plusieurs signes peuvent indiquer qu'une attaque de ransomware utilise le logiciel malveillant BlackCat. Les indicateurs de compromission (IOC) comprennent les signatures de hachage de fichiers, les adresses IP de commande et de contrôle, et les domaines spécifiques publiés par le FBI et d'autres analyses. Les attaques BlackCat utilisent généralement une note de rançon unique ou personnalisée pouvant inclure un lien vers un site Web Tor unique qui révèle les preuves de données qui ont précédemment été exfiltrées et rançonnées. BlackCat ajoute également des extensions uniques et aléatoires aux fichiers cryptés dans chaque campagne, et il crée un fichier appelé « RECOVER-<random>-NOTES.txt » dans chaque répertoire contenant des fichiers rançonnés.

Les méthodes et contrôles utilisés pour prévenir d'autres types de cybercriminalité et d'attaques de ransomware peuvent être efficaces contre les attaques BlackCat.

• Microsegmentation. En limitant strictement l'accès aux ressources informatiques individuelles ou aux petits sous-ensembles d'un réseau, la microsegmentation définie par logiciel peut empêcher le type de mouvement latéral essentiel aux attaques par ransomware.
• Formations de sensibilisation à la sécurité. Éduquer les employés est un élément essentiel de la prévention contre les ransomwares. Leur formation de sensibilisation doit inclure les meilleures pratiques en matière d'hygiène de sécurité ainsi que les moyens de reconnaître les courriels de phishing et d'autres techniques courantes de distribution de ransomwares.
• Chiffrement. Grâce au chiffrement, les entreprises peuvent empêcher les auteurs d'attaques par ransomware de voler et d'exposer des données sensibles.
• Contrôle renforcé des identités et des accès. En mettant en œuvre des mots de passe forts et des techniques telles que l'authentification multifactorielle,les entreprises peuvent limiter significativement le nombre de personnes autorisées à afficher ou à modifier les données, réduisant ainsi le risque ou la portée d'une infection par ransomware BlackCat.
• Sauvegardes. Sauvegarder les données régulièrement permet aux entreprises de se remettre rapidement après une infection par ransomware sans avoir à payer de rançon ou à perdre définitivement de fichiers. Les sauvegardes doivent être stockées dans un emplacement sécurisé non connecté aux ordinateurs ou au réseau, afin d'éviter que ces emplacements de stockage ne soient infectés.
• Cadence optimale d'application des correctifs. L'installation régulière de mises à jour et de correctifs de sécurité peut aider à corriger les vulnérabilités du matériel, des applications et des API dont les attaquants pourraient autrement tirer parti.
• Surveillance continueLes administrateurs réseau doivent surveiller en permanence le trafic entrant et sortant à la recherche de schémas inhabituels pouvant indiquer une infection par ransomware ou d'autres types de cyberattaques.
• Sécurité des points de terminaison. Les services de sécurité des points de terminaison assurent une protection au niveau des terminaux pour reconnaître et bloquer les attaques.
• Services cloud sécurisés. En choisissant des fournisseurs de services cloud, les entreprises doivent s'assurer que les équipes de sécurité comprennent le modèle de responsabilité partagée en matière de sécurité impliqué dans de nombreux services cloud, et que les fournisseurs respectent les normes reconnues et les cadres de qualité tels que la norme PCI DSS ou la certification FedRAMP.
• Protection contre les fuites de données (DLP). Les solutions DLP permettent une classification granulaire des données en fonction de leur sensibilité et peuvent alerter les équipes de sécurité en temps réel lorsque des incidents de ransomware potentiels ou des exfiltrations de données se produisent.