Détecté pour la première fois en novembre 2021, la menace BlackCat (aussi connu sous les noms ALPHV ou Noberus) est un Ransomware-as-a-Service (RaaS) d’origine russophone. Autopsie d’une nouvelle menace venue de Russie.
Un RaaS (Ransomware-as-a-Service) est un modèle d’affiliation où les développeurs d’un code malveillant (rançongiciel en l’occurrence) proposent ce dernier, ainsi qu’un ensemble de services associés, sur les marchés cybercriminels à d’autres d’attaquants. En décembre dernier, les opérateurs clés du groupe BlackCat ont ainsi lancé une vaste campagne de recrutement d’affiliés (expérimentés et uniquement russophones) via deux forums russophones sur le Dark Web. Ces nouvelles recrues ont, d’ailleurs, pour consigne stricte de ne pas viser les pays de l’espace post-soviétique. De plus, le groupe veille à ne pas commettre les mêmes « erreurs opérationnelles » que les groupes REvil ou Conti, ce qui dénote la relative rigueur de ce groupe. Leur objectif semble être unique, à savoir le gain financier.
Réputé être l’un des rançongiciels les plus fiables (et rigoureux ?) du marché
BlackCat possède plusieurs modes de chiffrement (complet, rapide, partiel, automatique). La charge malveillante BlackCat est codée en RUST ce qui donne à l’exécutable une rapidité et une fiabilité d’exécution, ainsi qu’une polyvalence d’utilisation sur de nombreuses plateformes (telles que Windows, Linux, ESXI, Ubuntu, ReadyNAS ou encore Synology).
Rigoureusement, et probablement pour encadrer la qualité des attaques signées BlackCat, le groupe a instauré des règles de sécurité des opérations (SecOps) à respecter telles que la compromission d’un domaine avec le NAS et l’ESX comme prérequis. Il est à noter que les affiliés ont interdiction de communiquer sur des forums, les attaquants ont également pour consigne de ne pas révéler les infrastructures réelles de BlackCat lors de leurs attaques.
En outre, des « partenariats » avec des individus liés aux groupes DarkSide et REvil ont déjà pu être établis. Sur certains forums, des opérateurs de BlackCat rappellent les erreurs de sécurité opérationnelle commises par d’autres groupes malveillants comme REvil et Conti. Ces conversations révèlent une réelle rigueur opérationnelle de la part du groupe.
Plus qu’un groupe de cybercriminels, un groupe de professionnels mal intentionnés
De janvier à fin avril 2022, il a été dénombré 139 victimes de BlackCat. Suivant la tendance du Big Game Hunting (chasse aux grands animaux), particulièrement répandue depuis 2019, les affiliés BlackCat visent généralement des multinationales (dans les secteurs de la construction, de l’énergie, de la mode, de la finance, etc.).
La cyber kill chain (mode opératoire) relevée débute généralement par une connexion malicieuse de type RDP (Remote Desktop Protocol) via des identifiants préalablement compromis. Ensuite, des techniques de désactivation des systèmes de défense tels que les antivirus et/ou EDR, de découverte des réseaux de partage, d’exécution de PsExec, etc. peuvent être réalisées. Après avoir préparé son environnement voire installé ses propres outils de contrôle à distance tels que RClone ou AnyDesk, l’attaquant procède à l’exfiltration de données avec RClone ou bien en utilisant le service Mega. Suite à l’exfiltration, commence alors la phase de chiffrement. A noter qu’une fois le rançongiciel exécuté, il peut procéder à l’effacement des « shadow copies » afin de supprimer les sauvegardes de fichiers antérieurs. Une fois la phase de chiffrement terminée, une note de rançon au format .txt ou .txt.png est déposée sur la(les) machine(s) de la victime.
BlackCat, un avenir certain
Depuis sa création, BlackCat a su maintenir son activité, compromettre des cibles majeures et rassembler de nombreuses capacités lui conférant un rôle majeur dans les cyberattaques de 2022 : un rançongiciel efficace avec une procédure méthodique, des opérateurs qui ont appris des erreurs d’autres groupes malveillants, des coopérations avec d’autres opérateurs expérimentés déjà actifs, des règles de SecOps établies qui tendent à confirmer une activité malveillante sur le long terme… En conséquence, la difficulté de prévoir leurs attaques devrait rester haute dans les mois à venir.
Pour toutes ces raisons, un avenir certain se dessine pour le groupe cybercriminel BlackCat. Mais pas seulement, en effet, les affiliés de BlackCat perçoivent également un fort pourcentage des rançons payées (entre 80 et 90 %) alors que les développeurs de rançongiciels n’accordent généralement que 70 % de la valeur totale des rançons payées par les victimes aux attaquants.
Pour finir, comme nous l’avons vu précédemment, le vecteur d’infection initiale est une compromission initiale d’identifiant. Ainsi, la sensibilisation à l’hygiène informatique auprès des collaborateurs reste encore un pilier important en cybersécurité. Cependant, ceci ne sera pas suffisant tant qu’une défense en profondeur pour chaque organisation (SOC, mise en place et surveillance de solutions de sécurité, audits réguliers, surveillance de fuite de données, etc.) ne sera pas mise en place par les organisations.
___________________
par Antoine Coutant, Practice Manager Audits SSI & CERT chez Synetis
À lire également :
Renseignement sur les menaces : 2 500 ans après, un intérêt plus évident que jamais
MoonBounce, la nouvelle menace qui s’attaque au boot UEFI
Malware EMOTET : Comment s’en protéger ?
Le grand retour de la cybercriminalité des États-nations
Le système d’évaluation des vulnérabilités « CVSS » – quelles vulnérabilités à prioriser ?