Aucun marché n’aime les temps morts et cela s’applique aussi aux ransomwares, ou rançongiciels. Après que les groupes BlackMatter et REvil ont interrompu leurs opérations, l’apparition de nouveaux acteurs n’était qu’une question de temps. Et aujourd’hui nous voulons vous parler de l’un d’eux. En décembre dernier, des publicités qui promouvaient les services du groupe ALPHV, aussi connu comme BlackCat, sont apparues sur les forums de cybercriminels. Après plusieurs incidents, nos experts de l’équipe GReAT (Global Research and Analysis Team) ont décidé d’analyser de plus près l’activité de ce groupe et de publier un rapport détaillé sur notre site Securelist.
Dans leurs publicités, les cybercriminels disaient qu’ils avaient étudié les erreurs et les problèmes de leurs prédécesseurs et qu’ils avaient créé une version améliorée du programme malveillant. Pourtant, certains indices laissent croire qu’ils pourraient être plus proches des groupes BlackMatter et REvil que ce qu’ils disent.
Qui est le groupe BlackCat et quels sont les outils utilisés ?
Les créateurs du ransomware BlackCat proposent des services de type Ransomware-as-a-Service (RaaS). En d’autres termes, ils autorisent les autres cybercriminels à accéder à leur infrastructure et à leur code malveillant en échange d’un certain pourcentage de la rançon. En plus de ça, il est fort probable que les membres du groupe BlackCat soient responsables des négociations avec les victimes. Ainsi, la seule chose que leur » franchisé » doit faire est d’accéder à l’environnement de l’entreprise. C’est grâce à ce principe selon lequel le groupe » a tout ce dont vous avez besoin » que BlackCat s’est fait connaître si rapidement : leur malware est déjà utilisé pour attaquer des entreprises dans le monde entier.
L’arsenal de BlackCat comprend plusieurs éléments. Le premier est un outil de chiffrement du même nom. Il est codé en Rust, ce qui a permis aux cybercriminels de créer un outil multiplateforme avec des versions du malware qui fonctionnent sous Windows et Linux.
Ensuite, on trouve l’outil Fendr, utilisé pour extraire les données de l’infrastructure infectée. L’utilisation de cet outil suggère que BlackCat pourrait simplement être un changement d’image de la faction BlackMatter, puisque ce groupe était le seul à utiliser cet outil aussi connu comme ExMatter.
BlackCat se sert aussi de l’outil PsExec pour les mouvements latéraux dans le réseau de la victime. Il s’agit de Mimikatz, un logiciel de piratage très célèbre, et du programme Nirsoft pour extraire les mots de passe du réseau.
Vous pouvez trouver plus d’informations techniques sur les méthodes et les outils utilisés par BlackCat, ainsi que sur les indicateurs de compromission, dans cet article publié sur Securelist.
Qui sont les victimes de BlackCat ?
Parmi les incidents provoqués par le ransomware BlackCat, nos experts ont constaté qu’au moins une entreprise industrielle en Amérique du Sud, qui travaille dans le pétrole, le gaz, le minage et la construction, a été victime de ce malware. De plus, plusieurs clients d’une entreprise qui propose des services de planification des ressources au Moyen-Orient ont été infectés.
L’évolution de Fendr est un des points les plus troublants. Pour le moment, l’outil peut automatiquement télécharger un éventail de fichiers beaucoup plus large que lors des attaques précédentes du groupe BlackMatter. Les cybercriminels ont récemment ajouté la possibilité de trouver les fichiers avec les extensions suivantes : .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt and .dxf. Ces fichiers sont associés aux applications de design industriel et aux outils d’accès à distance, ce qui pourrait indiquer que les créateurs du malware veulent s’en prendre aux environnements industriels.
Comment vous protéger ?
Afin d’éviter que votre entreprise ne perde des informations importantes, nous vous conseillons avant tout de protéger tous les dispositifs de votre entreprise en installant des solutions de sécurité fiables. Ensuite, vous devez former régulièrement vos employés pour qu'ils connaissent les principes de base en sécurité des informations.
L’activité Ransomware-as-a-Service ne cesse d’augmenter et votre entreprise doit être prête en cas d’incident et doit avoir une stratégie anti-ransomware à plusieurs niveaux.