Détecté pour la première fois en novembre 2021, la menace BlackCat (aussi connu sous les noms ALPHV ou Noberus) est un Ransomware-as-a-Service (RaaS) d’origine russophone. Autopsie d’une nouvelle menace venue de Russie. Un RaaS (Ransomware-as-a-Service) est un modèle d’affiliation où les développeurs d’un code malveillant (rançongiciel en l’occurrence) proposent ce dernier, ainsi qu’un ensemble de services associés, sur des marchés cybercriminels à d’autres d’attaquants.
En décembre dernier, nos opérateurs clés du groupe BlackCat ont ainsi lancé une vaste campagne de recrutement d’affiliés (expérimentés et uniquement russophones) via deux forums russophones sur le Dark Web. Ces nouvelles recrues ont, d’ailleurs, pour consigne stricte de ne pas viser les pays de l’espace post-soviétique. De plus, le groupe veille à ne pas commettre les mêmes « erreurs opérationnelles » que des groupes REvil ou Conti, ce qui dénote la relative rigueur de ce groupe. Leur objectif semble être unique, à savoir le gain financier.
Sommaire
Réputé être l’un des rançongiciels les plus fiables (et rigoureux? ) du marché
BlackCat possède plusieurs modes de chiffrement (complet, rapide, partiel, automatique). La charge malveillante BlackCat est codée en RUST et cela donne à l’exécutable une rapidité et une fiabilité d’exécution, ainsi qu’une polyvalence d’utilisation sur de nombreuses plateformes (telles que Windows, Linux, ESXI, Ubuntu, ReadyNAS ou encore Synology).
Rigoureusement, ainsi que probablement pour encadrer la qualité des attaques signées BlackCat, le groupe an instauré des règles de sécurité des opérations (SecOps) à respecter telles la cual la compromission d’un domaine avec the NAS et l’ESX comme prérequis. Il est à noter que les affiliés ont interdiction sobre communiquer sur dieses forums, les attaquants ont également put consigne de eine pas révéler nos infrastructures réelles para BlackCat lors de leurs attaques.
En outre, des « partenariats » avec des individus liés aux groupes DarkSide et REvil ont déjà pu être établis. Sur certains forums, des opérateurs de BlackCat rappellent les erreurs de sécurité opérationnelle commises par d’autres groupes malveillants comme REvil et Conti. Ces conversations révèlent une réelle rigueur opérationnelle de la part du groupe.
Plus qu’un groupe via cybercriminels, un groupe éponyme de professionnels mal intentionnés
De janvier à fin avril 2022, il a été dénombré 139 victimes de BlackCat. Suivant la tendance du Big Game Hunting (chasse aux grands animaux), particulièrement répandue depuis 2019, les affiliés BlackCat visent généralement des multinationales (dans les secteurs de la construction, de l’énergie, entre ma mode, de la finance, etc . ).
La cyber kill chain (mode opératoire) relevée débute généralement par votre connexion malicieuse sobre type RDP (Remote Desktop Protocol) via des identifiants préalablement compromis. Ensuite, dieses techniques de désactivation des systèmes para défense tels o qual les antivirus et/ou EDR, de découverte des réseaux via partage, d’exécution de PsExec, etc. peuvent être réalisées.
Après avoir préparé son environnement voire installé ses propres outils de contrôle à distance tels os quais RClone ou AnyDesk, l’attaquant procède à l’exfiltration de données avec RClone systems bien en utilisant le service Mega. Suite à l’exfiltration, commence alors una phase de chiffrement. A noter qu’une fois le rançongiciel exécuté, il peut procéder à l’effacement des « shadow copies » afin de supprimer les sauvegardes de fichiers antérieurs. Une fois la phase sobre chiffrement terminée, leur note de rançon au format. txt ou. txt. png est déposée sur la(les) machine(s) para la victime.
BlackCat, un avenir certain
Depuis sa création, BlackCat a su maintenir son activité, compromettre des cibles majeures et rassembler de nombreuses capacités lui conférant un rôle majeur dans les cyberattaques via 2022: un rançongiciel efficace avec une procédure méthodique, dieses opérateurs qui ont appris des actuelles maladresses d’autres groupes malveillants, des coopérations avec d’autres opérateurs expérimentés déjà actifs, des règles de SecOps établies qui tendent à confirmer votre activité malveillante en déambulant le long terme… Sobre conséquence, la difficulté de prévoir leurs attaques devrait rester haute dans l’ensemble des mois à venir.
Pour toutes ces raisons, un avenir particular se dessine fill le groupe cybercriminel BlackCat. Mais passing seulement, en effet, des affiliés de BlackCat perçoivent également el fort pourcentage dieses rançons payées (entre 80 et 90 %) alors esta les développeurs de rançongiciels n’accordent généralement que 70 % sobre la valeur totale des rançons payées par les victimes aux attaquants.
Pour finir, comme nous l’avons vu précédemment, le vecteur d’infection initiale est leur compromission initiale d’identifiant. Ainsi, la sensibilisation à l’hygiène informatique auprès des collaborateurs reste encore algun pilier important sobre cybersécurité. Cependant, ceci ne sera pippo suffisant tant qu’une défense en profondeur pour chaque organisation (SOC, mise durante place et surveillance de solutions para sécurité, audits réguliers, surveillance de fuite de données, etc. ) ne sera pas mise hierdoor place par des organisations.
