Dans l’ombre de la cybercriminalité, le ransomware BlackCat a émergé comme une menace redoutable et sophistiquée. Lisez la suite pour en savoir plus sur le fonctionnement interne du ransomware BlackCat et la manière de se protéger contre lui.
Qu’est-ce que le ransomware BlackCat ?
Depuis qu’il est apparu en novembre 2021, BlackCat, également désigné par ALPHV ou ALPHV-ng, est devenu une menace importante dans le domaine des ransomware. Cette souche de ransomware fonctionne comme Ransomware en tant que service (RaaS), et elle est considérée comme l’une des activités RaaS les plus sophistiquées. BlackCat se démarque pour par son utilisation du langage de programmation Rust et une effrayante stratégie de « triple extorsion ».
Comment le ransomware BlackCat fonctionne-t-il ?
Le ransomware BlackCat fonctionne comme un logiciel malveillant, en se démarquant par son utilisation atypique du langage de programmation Rust. Son adaptabilité s’étend à une large gamme de périphériques cibles et de vulnérabilités potentielles, en s’alignant souvent sur des groupes reconnus ayant une activité de menaces. La malveillance de BlackCat repose sur son approche infaillible : chiffrement des données de la victime, exfiltration de celles-ci et emploi d’une tactique sans pitié de « triple extorsion ». La triple extorsion n’implique pas seulement la menace de l’exposition des données volées si la rançon demeure impayée, mais inclut également la possibilité inquiétante d’une attaque par déni de service distribué (DDoS, Distributed Denial of Service) si les demandes de rançon ne sont pas satisfaites.
Avec son fonctionnement de type Ransomware en tant que service (RaaS), le modèle économique dans lequel évolue BlackCat permet à d’autres cybercriminels d’utiliser ce ransomware, de mener leurs propres campagnes, et d’empocher une part substantielle des bénéfices, en dépassant la norme du secteur de 70 %. L’attractivité de BlackCat est encore renforcée par ses options de personnalisation complètes, ce qui permet à ceux qui l’utilisent, même les moins expérimentés, d’être en mesure d’orchestrer des attaques sophistiquées sur des entreprises. Bien que les demandes de rançon de BlackCat atteignent souvent des millions, un paiement rapide peut permettre d’obtenir des rabais. Toutefois, les organisations doivent faire preuve de prudence lorsqu’elles envisagent un paiement, car le fait de payer peut contribuer involontairement à financer l’activité criminelle, sans aucune garantie de récupération des fichiers.
Généralement, les responsables de BlackCat réclament un paiement dans une crypto-monnaie, comme le Bitcoin, en échange d’une clé de déchiffrement incertaine. En outre, les victimes sont confrontées à des messages à l’écran leur indiquant comment soumettre la rançon et obtenir la clé de déchiffrement, ce qui intensifie encore la pression de la campagne d’extorsion.
Comment le ransomware BlackCat se propage-t-il ?
Les principaux vecteurs d’attaque de BlackCat sont notamment des e-mails infectés et des liens vers des sites Web malveillants, qui attirent les utilisateurs peu méfiants dans leurs filets. Une fois BlackCat infiltré, sa virulence garantit une prolifération rapide et généralisée dans l’intégralité du système.
Ce qui distingue BlackCat des autres variantes de ransomware est son utilisation du langage de programmation Rust. Rust se démarque en raison de ses attributs exceptionnels, dont la vitesse, la stabilité, une meilleure gestion de la mémoire, et sa capacité à contourner les méthodes de détections sophistiquées. Entre les mains de cybercriminels, ces caractéristiques en font un outil puissant. En particulier, l’adaptabilité de BlackCat s’étend aux plates-formes non-Windows, telles que Linux, qui sont généralement confrontées à un moins grand nombre de programmes malveillants. Cela pose un défi unique aux administrateurs Linux chargés de combattre cette menace en évolution.
La flexibilité de BlackCat est mise en évidence par un fichier de configuration JSON, qui permet aux utilisateurs de sélectionner quatre algorithmes de chiffrement différent, de personnaliser les demandes de rançon, de spécifier des exclusions pour les fichiers, les dossiers et les extensions, et de définir des services et des processus pour mettre fin à l’activité malveillante, en assurant un processus de chiffrement fluide. En outre, la possibilité de configuration de BlackCat s’étend à l’utilisation des informations d’identification du domaine, ce qui augmente sa capacité à se propager vers d’autres systèmes.
BlackCat s’est également aventuré au-delà des limites du Dark Web, en créant un site Web présentant les fuites de données sur l’Internet public. Alors que d’autres groupes exploitent généralement ces sites sur le Dark Web pour apporter la preuve de violations de données et contraindre les victimes à payer des rançons, le site public de BlackCat change la donne en offrant une visibilité à un public plus large, incluant les clients actuels et potentiels, les actionnaires et les journalistes.
Victimes types du ransomware BlackCat
Conformément au mode opératoire des ransomware des chasseurs de gros gibier principaux, les victimes classiques du ransomware BlackCat sont généralement des entreprises de taille considérable, choisies de manière stratégique pour optimiser le paiement d’une rançon potentielle. Les rapports indiquent que les rançons demandées ont considérablement évolué, allant de centaines de milliers à plusieurs millions de dollars, à payer en crypto-monnaie.
Bien que le nombre exact des victimes demeure incertain, la présence menaçante de BlackCat est manifeste dans la révélation de plus d’une vingtaine d’organisations ciblées sur le site présentant les fuites Tor du groupe. Ces victimes recouvrent divers secteurs d’activité et pays, notamment l’Australie, les Bahamas, la France, l’Allemagne, l’Italie, les Pays-Bas, les Philippines, l’Espagne, le Royaume-Uni et les États-Unis. Les secteurs affectés comprennent différents domaines d’activité, allant des services commerciaux, de la construction et l’énergie à la mode, la finance, la logistique, la fabrication, l’industrie pharmaceutique, la vente au détail et la technologie.
Exemples d’attaque du ransomware BlackCat
Novembre 2023 – Heny Schein
En novembre 2023, le ransomware BlackCat a ciblé l’organisme de santé Henry Schein, qui figure au classement Fortune 500. Selon les rapports, le groupe de cybercriminels du ransomware, également appelé ALPHV, a revendiqué avoir dérobé 35 To de données et commencé à négocier avec Henry Schein. Dans un premier temps, la société a reçu une clé de déchiffrement et a commencé à restaurer ses systèmes, mais le groupe de cybercriminels a tout rechiffré lorsque les négociations ont été rompues. La situation s’est envenimée lorsque la bande de cybercriminels a menacé de divulguer des données internes, mais plus tard, elle a supprimé les données de son site Web, laissant espérer un possible accord. L’attaque s’est produite deux semaines avant que les données ne soient publiées en ligne, ce qui a provoqué une interruption temporaire des activités d’Henry Schein. La société a pris des mesures de précaution, a signalé l’incident à la police et a engagé des experts en criminalistique pour mener une enquête.
Août 2023 – Seiko Group Corporation
Seiko Group Corporation a confirmé une violation de données perpétrée par le groupe de cybercriminels du ransomware BlackCat en août 2023, qui a impliqué 60 000 enregistrements concernés. Les données affectées comprenaient des dossiers de clients, des contacts pour des transactions commerciales, des détails sur des candidats à un emploi et des informations personnelles. Surtout, les données relatives aux cartes de crédit sont restées sécurisées. En réponse, Seiko a mis en place toute une palette de mesures de sécurité, telles que le blocage des communications avec les serveurs externes, le déploiement de systèmes EDR et la mise en œuvre d’une authentification à plusieurs facteurs. Seiko a confirmé qu’il prévoyait de collaborer avec des experts en matière de cybersécurité afin de renforcer la sécurité et d’empêcher d’autres incidents.
Comment se protéger contre les attaques du ransomware BlackCat ?
La défense de vos systèmes et de vos données contre le ransomware BlackCat est semblable aux mesures de protection employées pour déjouer d’autres variantes de ransomware. Ces protections incluent les points suivants :
Formation des employés :
La formation des employés pour contrer le ransomware BlackCat et d’autres menaces de programmes malveillants implique plusieurs points essentiels :
- La formation doit couvrir l’identification des e-mails de phishing, qui constituent une méthode de diffusion courante des ransomware.
- Les e-mails de phishing usurpent souvent des sources fiables, telles que des banques ou des entreprises de transport. Ils peuvent contenir des pièces jointes malveillantes ou des liens permettant d’installer le ransomware.
- Il est essentiel de faire preuve de prudence lors du traitement d’e-mails provenant d’expéditeurs inconnus, et d’éviter les téléchargements non autorisés.
- Les employés doivent maintenir les logiciels et les programmes antivirus à jour et savoir comment signaler des activités suspectes au service informatique ou au personnel de sécurité.
- Une formation régulière de sensibilisation à la sécurité permet de garder les employés bien informés en ce qui concerne les menaces de ransomware les plus récentes et les meilleures pratiques de prévention. Cela réduit le risque d’un incident avec le ransomware BlackCat et d’autres risques liés à la cybersécurité.
Chiffrement des données et contrôles d’accès :
La protection des données sensibles constitue une défense robuste contre le ransomware BlackCat et des menaces similaires. En déployant le chiffrement et des contrôles d’accès, les organisations peuvent atténuer considérablement le risque d’une infection par le ransomware BlackCat et les répercussions potentielles d’une attaque réussie :
- Le chiffrement implique de convertir les données dans un code qui est virtuellement indéchiffrable sans la clé de déchiffrement correspondante.
- Cela protège les données même si le ransomware infiltre le système et accède aux informations chiffrées.
- Les données critiques, incluant les données financières, les informations personnelles et les fichiers de l’entreprise essentiels, doivent être chiffrées en permanence.
- Il est possible d’utiliser divers outils de chiffrement, tels que BitLocker pour Windows ou FileVault pour Mac, ou des logiciels de chiffrement tiers.
- La mise en œuvre de contrôles d’accès est également essentielle pour restreindre l’accès aux données, en utilisant l’authentification de l’utilisateur et des processus d’autorisation, basés sur les responsabilités liées au poste et des exigences de mot de passe robuste.
- Même si un auteur de menaces arrive à accéder aux données chiffrées, celles-ci lui sont inaccessibles sans la clé de déchiffrement, qui doit être stockée à part des données chiffrées.
Sauvegarde des données :
Une sauvegarde régulière des données constitue l’une des défenses les plus efficaces contre le ransomware BlackCat et les logiciels malveillants similaires :
- Cela implique la duplication des fichiers vitaux et leur stockage dans un emplacement séparé, tel qu’un disque dur externe, un stockage dans le cloud ou sur un autre ordinateur.
- En cas d’infection par un ransomware BlackCat, il est alors possible d’effacer les fichiers affectés et de restaurer les données à partir de la sauvegarde, ce qui élimine le besoin de payer une rançon ou de risquer une perte définitive des fichiers.
- De manière importante, les sauvegardes doivent être stockées dans un emplacement isolé loin de l’ordinateur principal ou du réseau, afin d’éviter toute mise en danger. Les options de stockage recommandées sont notamment des emplacements séparés physiquement ou des services de stockage dans le cloud fiables, dotés de protocoles de sécurité et de chiffrement robustes.
Mise à jour des logiciels :
La mise à jour régulière des logiciels permet de se défendre contre le ransomware BlackCat et les logiciels malveillants associés :
- Les mises à jour comportent souvent des correctifs de sécurité qui corrigent les vulnérabilités exploitables par les agresseurs utilisant un ransomware. Les vendeurs de logiciels publient des mises à jour lors de la découverte de vulnérabilités, afin d’empêcher leur exploitation.
- Ces mises à jour incluent des correctifs de sécurité, des corrections de bogues et de nouvelles fonctionnalités. Le fait de négliger ces mises à jour peut laisser les systèmes vulnérables à des attaques.
- Les assaillants ciblent souvent des logiciels obsolètes, tels que des systèmes d’exploitation, des navigateurs Web et des plug-ins. L’installation régulière des mises à jour renforce la sécurité et rend plus difficile pour un agresseur l’exploitation des vulnérabilités.
- L’utilisation d’un logiciel de gestion automatisée des correctifs simplifie davantage le processus de mise à jour, en automatisant les installations, en programmant des mises à jour en dehors des heures de service, et en fournissant des rapports détaillés sur les mises à jour du système. Cette combinaison de mises à jour régulières et de gestion des correctifs automatisée réduit le risque d’infection par le ransomware BlackCat ou d’autres cybermenaces.
Utiliser des outils de cybersécurité :
Bien que la mise en œuvre des mesures de sécurité ci-dessus puisse augmenter considérablement votre défense contre le ransomware BlackCat, il est essentiel de compléter ces stratégies en utilisant des produits de cybersécurité dédiés. Par exemple :
- Kaspersky Premium offre une protection complète contre une multitude de cybermenaces, notamment les ransomware, avec une détection des menaces en temps réel, des pare-feu avancés et des mises à jour automatiques, pour une sécurité permanente.
- Kaspersky VPN renforce la sécurité en ligne en chiffrant votre connexion Internet et en l’acheminant en utilisant des serveurs sécurisés, ce qui le rend idéal pour protéger vos données, tout particulièrement sur les réseaux Wi-Fi publics.
- Pour une défense supplémentaire contre les ransomware, Kaspersky Password Manager stocke en toute sécurité et génère des mots de passe robustes et uniques pour vos comptes en ligne, ce qui réduit le risque de violation par le biais de mots de passe faibles ou réutilisés.
Pour conclure, dans la mesure où le paysage des menaces continue à évoluer, l’importance de l’utilisation d’une combinaison de pratiques de cybersécurité robustes et d’outils de pointe ne peut pas être surestimée. La mise en œuvre d’une approche globale, qui inclut la formation des employés, le chiffrement des données, les contrôles d’accès, les sauvegardes de données régulières et les mises à jour des logiciels, ainsi que l’utilisation de produits de cybersécurité, optimisera votre sécurité en ligne et vous aidera à vous défendre contre le ransomware BlackCat et d’autres menaces malveillantes.
FAQ sur le ransomware BlackCat
Qu’est-ce que le ransomware BlackCat ?
BlackCat, également dénommé ALPHV ou ALPHV-ng, a fait son apparition en novembre 2021 et il est devenu depuis l’une des menaces majeures dans le domaine des ransomware. BlackCat présente un fonctionnement de type Ransomware en tant que service (RaaS), et il est considéré comme l’une activités RaaS les plus avancées à ce jour. BlackCat est connu pour son utilisation du langage de programmation Rust et son approche de type « triple extorsion ».
Quels sont quelques exemples de victimes du ransomware BlackCat ?
BlackCat cible de manière stratégique de grandes organisations en vue du paiement de rançons considérables, en demandant des sommes variables, allant généralement de centaines de milliers à des millions de dollars en crypto-monnaie. Plus d’une vingtaine d’organisations victimes ont été identifiées sur le site présentant les fuites Tor du groupe, réparties dans plusieurs pays dans le monde. Les secteurs d’activité ciblés comprennent les services commerciaux, la construction, l’énergie, la mode, la finance, la logistique, la fabrication, l’industrie pharmaceutique, la vente au détail et la technologie.
Produits associés :
Articles connexes :
