Skip to content
News du web

News du web

Actualités et Informations

  • Actualités
  • Économie
  • Sciences
  • Technologies
  • Toggle search form
  • Comment résilier un forfait mobile free? Technologies
  • Une « académie du métavers » bientôt en France Actualités
  • Batterie externe pour téléphone qui siffle: que faire? Technologies
  • L’équilibre entre pouvoir et responsabilité, le secret de la SSO. François Amigorena, IS Decisions Actualités
  • Quels sont les meilleurs smartphones du moment? Actualités
  • Choisir une agence SEO à Paris pour être accompagné dans la croissance de sa présence en ligne Technologies
  • Vulcan présente sa plateforme de gestion des risques cyber Actualités
  • Qu’est-ce que l’ « identification » ou « tagging » sur Facebook? Technologies

Analyse stratégique de la menace BlackCat. Antoine Coutant, Synetis

Posted on juin 8, 2022juin 20, 2022 By Jean OUDARD Aucun commentaire sur Analyse stratégique de la menace BlackCat. Antoine Coutant, Synetis

Email
Print
Facebook
Twitter
Linkedin
Détecté pour la première fois en novembre 2021, la menace BlackCat (aussi connu sous les noms ALPHV ou Noberus) est un Ransomware-as-a-Service (RaaS) d’origine russophone. Autopsie d’une nouvelle menace venue de Russie. Un RaaS (Ransomware-as-a-Service) est un modèle d’affiliation où les développeurs d’un code malveillant (rançongiciel en l’occurrence) proposent ce dernier, ainsi qu’un ensemble de services associés, sur des marchés cybercriminels à d’autres d’attaquants. En décembre dernier, nos opérateurs clés du groupe BlackCat ont ainsi lancé une vaste campagne de recrutement d’affiliés (expérimentés et uniquement russophones) via deux forums russophones sur le Dark Web. Ces nouvelles recrues ont, d’ailleurs, pour consigne stricte de ne pas viser les pays de l’espace post-soviétique. De plus, le groupe veille à ne pas commettre les mêmes « erreurs opérationnelles » que des groupes REvil ou Conti, ce qui dénote la relative rigueur de ce groupe. Leur objectif semble être unique, à savoir le gain financier.
Réputé être l’un des rançongiciels les plus fiables (et rigoureux? ) du marché
BlackCat possède plusieurs modes de chiffrement (complet, rapide, partiel, automatique). La charge malveillante BlackCat est codée en RUST et cela donne à l’exécutable une rapidité et une fiabilité d’exécution, ainsi qu’une polyvalence d’utilisation sur de nombreuses plateformes (telles que Windows, Linux, ESXI, Ubuntu, ReadyNAS ou encore Synology).
Rigoureusement, ainsi que probablement pour encadrer la qualité des attaques signées BlackCat, le groupe an instauré des règles de sécurité des opérations (SecOps) à respecter telles la cual la compromission d’un domaine avec the NAS et l’ESX comme prérequis. Il est à noter que les affiliés ont interdiction sobre communiquer sur dieses forums, les attaquants ont également put consigne de eine pas révéler nos infrastructures réelles para BlackCat lors de leurs attaques.
En outre, kklk « partenariats » avec des individus liés aux groupes DarkSide et REvil ont déjà pu être établis. Sur certains forums, des opérateurs de BlackCat rappellent les erreurs de sécurité opérationnelle commises par d’autres groupes malveillants comme REvil et Conti. Ces conversations révèlent une réelle rigueur opérationnelle de la part du groupe.
Plus qu’un groupe via cybercriminels, un groupe éponyme de professionnels mal intentionnés
De janvier à fin avril 2022, il a été dénombré 139 victimes de BlackCat. Suivant la tendance du Big Game Hunting (chasse aux grands animaux), particulièrement répandue depuis 2019, les affiliés BlackCat visent généralement des multinationales (dans les secteurs de la construction, de l’énergie, entre ma mode, de la finance, etc . ).
La cyber kill chain (mode opératoire) relevée débute généralement par votre connexion malicieuse sobre type RDP (Remote Desktop Protocol) via des identifiants préalablement compromis. Ensuite, dieses techniques de désactivation des systèmes para défense tels o qual les antivirus et/ou EDR, de découverte des réseaux via partage, d’exécution de PsExec, etc. peuvent être réalisées. Après avoir préparé son environnement voire installé ses propres outils de contrôle à distance tels os quais RClone ou AnyDesk, l’attaquant procède à l’exfiltration de données avec RClone systems bien en utilisant le service Mega. Suite à l’exfiltration, commence alors una phase de chiffrement. A noter qu’une fois le rançongiciel exécuté, il peut procéder à l’effacement des « shadow copies » afin de supprimer les sauvegardes de fichiers antérieurs. Une fois la phase sobre chiffrement terminée, leur note de rançon au format. txt ou. txt. png est déposée sur la(les) machine(s) para la victime.
BlackCat, un avenir certain
Depuis sa création, BlackCat a su maintenir son activité, compromettre des cibles majeures et rassembler de nombreuses capacités lui conférant un rôle majeur dans les cyberattaques via 2022: un rançongiciel efficace avec une procédure méthodique, dieses opérateurs qui ont appris des actuelles maladresses d’autres groupes malveillants, des coopérations avec d’autres opérateurs expérimentés déjà actifs, des règles de SecOps établies qui tendent à confirmer votre activité malveillante en déambulant le long terme… Sobre conséquence, la difficulté de prévoir leurs attaques devrait rester haute dans l’ensemble des mois à venir.
Pour toutes ces raisons, un avenir particular se dessine fill le groupe cybercriminel BlackCat. Mais passing seulement, en effet, des affiliés de BlackCat perçoivent également el fort pourcentage dieses rançons payées (entre 80 et 90 %) alors esta les développeurs de rançongiciels n’accordent généralement que 70 % sobre la valeur totale des rançons payées par les victimes aux attaquants.
Pour finir, comme nous l’avons vu précédemment, le vecteur d’infection initiale est leur compromission initiale d’identifiant. Ainsi, la sensibilisation à l’hygiène informatique auprès des collaborateurs reste encore algun pilier important sobre cybersécurité. Cependant, ceci ne sera pippo suffisant tant qu’une défense en profondeur pour chaque organisation (SOC, mise durante place et surveillance de solutions para sécurité, audits réguliers, surveillance de fuite de données, etc. ) ne sera pas mise hierdoor place par des organisations.
___________________
par Antoine Coutant, Practice Manager Audits SSI & CERT chez Synetis

À lire également:
Renseignement sur les menaces: 2 500 ans après, un intérêt plus évident que jamais
MoonBounce, los angeles nouvelle menace qui s’attaque au boot UEFI
Malware EMOTET: Comment s’en protéger?
Le grand retour de la cybercriminalité des États-nations
Le système d’évaluation parfois des vulnérabilités « CVSS » – quelles vulnérabilités à prioriser?

Actualités, Technologies

Navigation de l’article

Previous Post: Avancées IA & Cybersecurité. Joshua Saxe, Sophos
Next Post: « Il faut être capable d’apporter le même niveau de protection sur tous les clouds publics, privés, hybrides. » Thierry Lottin, Veeam France

Related Posts

  • Rendu 3D pliable du smartphone Huawei Technologies
  • Les astuces pour réaliser des économies d’énergie sur sa facture électrique Technologies
  • Quelle hauteur de chaise pour table 77 cm? Technologies
  • Agora06: accéder à son compte Technologies
  • Les dernières tendances 2022 de protection pour smartphones Technologies
  • Safari aurait dépassé la barre du milliard d’utilisateurs en 2022 Actualités

Laisser un commentaire Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Recherches

Catégories

  • Actualités
  • Économie
  • Sciences
  • Technologies

Articles récents

  • Les astuces pour réaliser des économies d’énergie sur sa facture électrique
  • Batterie externe pour téléphone qui siffle: que faire?
  • Comment un expert Shopify peut-il vous aider dans votre stratégie de développement Shopify?
  • Overwatch est mort, vive Overwatch
  • Une nouvelle ère des paris en ligne influencée par les nouvelles souches de COVID-19

Catégories

  • Actualités
  • Économie
  • Sciences
  • Technologies
  • Choisir une agence SEO à Paris pour être accompagné dans la croissance de sa présence en ligne Technologies
  • Pourquoi faire appel à une agence de rédaction web spécialisée? Technologies
  • Une nouvelle ère des paris en ligne influencée par les nouvelles souches de COVID-19 Technologies
  • Batterie externe pour téléphone qui siffle: que faire? Technologies
  • Pourquoi utiliser les logiciels helpdesk? Technologies
  • Comment anticiper au mieux le changement d’un ERP? Technologies
  • Haïti après le séisme, des besoins d’aide humanitaire Actualités
  • Overwatch est mort, vive Overwatch Technologies

Étiquettes

Caméra Carburants COVID-19 Essence Gendarme Gendarmes Haïti Humanitaire Incendie Nouvelle-calédonie Obligation vaccinale Oppo Ordinateur Policiers Pompiers Prix Pétrole Smartphone Séisme Technologies Vaccination Var Windows 11

Copyright © 2022 News du web.

Powered by PressBook News WordPress theme