Qu'est-ce que Blackcat Ransomware et comment s'en défendre ?

Publié: 2022-12-27

Une cyberattaque est une tentative délibérée et malveillante d'obtenir un accès non autorisé à un système ou à un réseau informatique par le biais de vulnérabilités existantes. Cela peut être fait pour voler des informations sensibles et perturber les opérations normales.

Ces derniers temps, les rançongiciels sont devenus l'outil de cyberattaque incontournable des cybercriminels. Les ransomwares se propagent généralement par le biais d'e-mails de phishing, de téléchargements en voiture, de logiciels piratés et du protocole de bureau à distance, entre autres.

Une fois qu'un ordinateur a été infecté par un ransomware, le ransomware crypte les fichiers critiques de l'ordinateur. Les pirates demandent alors une rançon pour restaurer les données cryptées.

Les cyberattaques peuvent compromettre la sécurité nationale d'un pays, paralyser des opérations dans des secteurs clés d'une économie et causer d'immenses dommages et de graves pertes financières. C'est exactement ce qui s'est passé avec la cyberattaque du rançongiciel WannaCry.

pirate

Le 12 mai 2017, un rançongiciel appelé WannaCry proviendrait de la Corée du Nord, s'est propagé dans le monde entier et a infecté plus de 200 000 systèmes informatiques dans plus de 150 pays en moins de deux jours. WannaCry ciblait les systèmes informatiques exécutant le système d'exploitation Windows. Il exploitait une vulnérabilité dans le protocole de bloc de messages du serveur du système d'exploitation.

L'une des plus grandes victimes de l'attaque a été le National Health Service (NHS) du Royaume-Uni. Plus de 70 000 de leurs appareils, y compris des ordinateurs, des théâtres, des équipements de diagnostic et des scanners IRM, ont été infectés. Les médecins ne pouvaient pas accéder à leurs systèmes ou aux dossiers des patients nécessaires pour soigner les patients. Cette attaque a coûté au NHS près de 100 millions de dollars.

C'est à quel point un peut devenir mauvais. Cependant, les choses peuvent empirer, en particulier avec de nouveaux ransomwares plus dangereux tels que BlackCat, qui laisse derrière lui un chemin plein de victimes.

Rançongiciel BlackCat

BlackCat-Ransomware

Le ransomware BlackCat, appelé ALPHV par ses développeurs, est un logiciel malveillant qui, lors de l'infection d'un système, exfiltre et crypte les données du système affecté. L'exfiltration consiste à copier et à transférer des données stockées dans un système. Une fois que BlackCat a exfiltré et chiffré les données critiques, une demande de rançon payable en crypto-monnaie est faite. Les victimes de BlackCat sont tenues de payer la rançon demandée pour retrouver l'accès à leurs données.

BlackCat n'est pas un rançongiciel ordinaire. BlackCat a été le premier rançongiciel réussi à être écrit en Rust, contrairement à d'autres rançongiciels qui sont généralement écrits en C, C++, C#, Java ou Python. De plus, BlackCat a également été la première famille de rançongiciels à avoir un site Web sur le Web clair où ils divulguent des informations volées lors de leurs attaques.

Une autre différence clé par rapport aux autres Ransomware est que BlackCat fonctionne comme Ransomware en tant que service (RaaS). Raas est un modèle commercial de cybercriminalité dans lequel les créateurs de ransomware louent ou vendent leur ransomware en tant que service à d'autres individus ou groupes.

Dans ce modèle, les créateurs de ransomwares fournissent tous les outils et l'infrastructure nécessaires aux autres pour distribuer et exécuter des attaques de ransomwares. C'est en échange d'une part de leurs bénéfices provenant des paiements de ransomware.

Cela explique pourquoi BlackCat a principalement ciblé les organisations et les entreprises, car elles sont généralement plus disposées à payer la rançon que les particuliers. Les organisations et les entreprises paient également une rançon plus importante que les particuliers. Les humains qui guident et prennent des décisions dans les cyberattaques sont connus sous le nom d'acteurs de la cybermenace (CTA).

Pour obliger les victimes à payer la rançon, BlackCat utilise la "technique de la triple extorsion". Cela implique de copier et de transférer les données des victimes et de chiffrer les données sur leurs systèmes. Les victimes sont alors invitées à payer une rançon pour accéder à leurs données cryptées. Si vous ne le faites pas, leurs données seront divulguées au public et/ou des attaques par déni de service (DOS) seront lancées sur leurs systèmes.

Enfin, ceux qui seront concernés par la fuite de données sont contactés et informés que leurs données seront divulguées. Il s'agit généralement de clients, d'employés et d'autres sociétés affiliées. Ceci est fait pour faire pression sur les organisations victimes pour qu'elles paient une rançon afin d'éviter une perte de réputation et des poursuites judiciaires résultant de fuites de données.

Comment fonctionne BlackCat Ransomware

Comment-BlackCat-ransomware-fonctionne

Selon une alerte flash publiée par le FBI, le rançongiciel BlackCat utilise des informations d'identification d'utilisateur précédemment compromises pour accéder aux systèmes.

Une fois avec succès dans le système, BlackCat utilise l'accès dont il dispose pour compromettre les comptes d'utilisateur et d'administrateur stockés dans le répertoire actif. Cela lui permet d'utiliser le planificateur de tâches Windows pour configurer des objets de stratégie de groupe (GPO) malveillants qui permettent à BlackCat de déployer son rançongiciel pour chiffrer des fichiers dans un système.

Lors d'une attaque BlackCat, les scripts PowerShell sont utilisés avec Cobalt Strike pour désactiver les fonctions de sécurité dans le réseau d'une victime. BlackCat vole ensuite les données des victimes là où elles sont stockées, y compris auprès des fournisseurs de cloud. Une fois cela fait, l'acteur de la cyber-menace guidant l'attaque déploie le rançongiciel BlackCat pour chiffrer les données dans le système de la victime.

Les victimes reçoivent alors une note de rançon les informant que leurs systèmes ont subi une attaque et que des fichiers importants sont cryptés. La rançon fournit également des instructions sur la façon de payer la rançon.

Pourquoi BlackCat est-il plus dangereux que le ransomware moyen ?

cryptéBlackCat

BlackCat est dangereux par rapport au ransomware moyen pour plusieurs raisons :

C'est écrit en Rust

Rust est un langage de programmation rapide, sécurisé, offrant des performances améliorées et une gestion efficace de la mémoire. En utilisant Rust, BlackCat récolte tous ces avantages, ce qui en fait un ransomware très complexe et efficace avec un cryptage rapide. Cela rend également BlackCat difficile à inverser. Rust est un langage multiplateforme qui permet aux acteurs de la menace de personnaliser facilement BlackCat pour cibler différents systèmes d'exploitation, tels que Windows et Linux, augmentant ainsi leur éventail de victimes potentielles.

Il utilise un modèle commercial RaaS

L'utilisation par BlackCat du ransomware comme modèle de service permet à de nombreux acteurs de la menace de déployer des ransomwares complexes sans avoir à savoir comment en créer un. BlackCat fait tout le gros du travail pour les acteurs de la menace, qui ont juste besoin de le déployer dans un système vulnérable. Cela facilite les attaques de rançongiciels sophistiqués pour les pirates intéressés par l'exploitation de systèmes vulnérables.

Il offre d'énormes paiements aux affiliés

Avec BlackCat utilisant un modèle Raas, les créateurs gagnent de l'argent en prenant une part de la rançon versée aux acteurs de la menace qui le déploient. Contrairement aux autres familles Raas qui prennent jusqu'à 30 % du paiement de la rançon d'un acteur malveillant, BlackCat permet aux acteurs malveillants de conserver 80 % à 90 % de la rançon qu'ils versent. Cela augmente l'attrait de BlackCat pour les acteurs de la menace, permettant à BlackCat d'obtenir plus d'affiliés prêts à le déployer dans des cyberattaques.

Il a un site de fuite public sur le Web clair

Contrairement à d'autres rançongiciels qui divulguent des informations volées sur le dark web, BlackCat divulgue des informations volées sur un site web accessible sur le web clair. En divulguant des données volées en clair, davantage de personnes peuvent accéder aux données, augmentant les répercussions d'une cyberattaque et mettant plus de pression sur les victimes pour qu'elles paient la rançon.

Le langage de programmation Rust a rendu BlackCat très efficace dans son attaque. En utilisant un modèle Raas et en offrant un paiement énorme, BlackCat fait appel à davantage d'acteurs menaçants qui sont plus susceptibles de le déployer dans des attaques.

Chaîne d'infection BlackCat Ransomware

chaîne d'infection

BlackCat obtient un accès initial à un système en utilisant des informations d'identification compromises ou en exploitant les vulnérabilités de Microsoft Exchange Server. Après avoir accédé à un système, les acteurs malveillants suppriment les défenses de sécurité du système, collectent des informations sur le réseau de la victime et élèvent leurs privilèges.

Le rançongiciel BlackCat se déplace ensuite latéralement dans le réseau, accédant à autant de systèmes que possible. Cela est pratique lors de la demande de rançon. Plus il y a de systèmes attaqués, plus la victime est susceptible de payer la rançon.

Des acteurs malveillants exfiltrent alors les données du système qui doivent être utilisées à des fins d'extorsion. Une fois les données critiques exfiltrées, le décor est planté pour la livraison de la charge utile BlackCat.

Des acteurs malveillants livrent BlackCat en utilisant Rust. BlackCat arrête d'abord les services tels que les sauvegardes, les applications antivirus, les services Internet Windows et les machines virtuelles. Une fois cela fait, BlackCat crypte les fichiers dans le système et défigure l'image d'arrière-plan d'un système en la remplaçant par la note de rançon.

Protégez-vous contre BlackCat Ransomware

sécurise

Bien que BlackCat s'avère plus dangereux que d'autres ransomwares connus auparavant, les entreprises peuvent se protéger contre les ransomwares de plusieurs manières :

Chiffrer les données critiques

Une partie de la stratégie d'extorsion de Blackhat consiste à menacer de divulguer les données d'une victime. En cryptant les données critiques, une organisation ajoute une couche de protection supplémentaire à ses données, paralysant ainsi les techniques d'extorsion utilisées par les acteurs de la menace BlackHat. Même en cas de fuite, ce ne sera pas dans un format lisible par l'homme.

Mettre régulièrement à jour les systèmes

Dans les recherches entreprises par Microsoft, il a été révélé que dans certains cas, BlackCat exploitait des serveurs d'échange non corrigés pour accéder aux systèmes d'une organisation. Les éditeurs de logiciels publient régulièrement des mises à jour logicielles pour résoudre les vulnérabilités et les problèmes de sécurité qui auraient pu être découverts dans leurs systèmes. Pour plus de sécurité, installez les correctifs logiciels dès qu'ils sont disponibles.

Sauvegardez les données dans un endroit sûr

Les organisations doivent donner la priorité à la sauvegarde régulière des données et au stockage des données dans un emplacement hors ligne séparé et sûr. Cela garantit que même dans le cas où des données critiques sont chiffrées, elles peuvent toujours être restaurées à partir de sauvegardes existantes.

Implémenter l'authentification multifacteur

En plus d'utiliser des mots de passe forts dans un système, implémentez l'authentification multifacteur, qui nécessite plusieurs informations d'identification avant que l'accès à un système ne soit accordé. Cela peut être fait en configurant un système pour générer un mot de passe à usage unique envoyé à un numéro de téléphone ou à un e-mail lié, qui est nécessaire pour accéder à un système.

Surveiller l'activité sur un réseau et les fichiers dans un système

Les organisations doivent surveiller en permanence l'activité sur leurs réseaux pour détecter et répondre aux activités suspectes sur leurs réseaux aussi rapidement que possible. Les activités sur un réseau doivent également être enregistrées et examinées par des experts en sécurité pour identifier les menaces potentielles. Enfin, des systèmes doivent être mis en place pour suivre la façon dont les fichiers d'un système sont accessibles, qui y accède et comment ils sont utilisés.

En chiffrant les données critiques, en veillant à ce que les systèmes soient à jour, en sauvegardant régulièrement les données, en mettant en œuvre une authentification multifacteur et en surveillant l'activité dans un système. Les organisations peuvent avoir une longueur d'avance et empêcher les attaques de BlackCat.

Ressources d'apprentissage : rançongiciels

Pour en savoir plus sur les cyberattaques et sur la façon de vous protéger contre les attaques de ransomwares tels que BlackCat, nous vous recommandons de suivre l'un de ces cours ou de lire les livres suggérés ci-dessous :

#1. Formation de sensibilisation à la sécurité

Formation de sensibilisation à la sécurité

C'est un cours incroyable pour tous ceux qui souhaitent être en sécurité sur Internet. Le cours est offert par le Dr Michael Biocchi, un professionnel certifié en sécurité des systèmes d'information (CISSP).

Le cours couvre le phishing, l'ingénierie sociale, la fuite de données, les mots de passe, la navigation sécurisée et les appareils personnels et propose des conseils généraux sur la façon d'être en sécurité en ligne. Le cours est régulièrement mis à jour et tous ceux qui utilisent Internet peuvent en bénéficier.

#2. Formation de sensibilisation à la sécurité, Sécurité Internet pour les employés

Formation-sensibilisation-à-la-sécurité-sécurité-Internet-pour-les-employés

Ce cours est adapté aux utilisateurs quotidiens d'Internet et vise à les éduquer sur les menaces de sécurité que les gens ignorent souvent et sur la manière de se protéger contre ces menaces.

Le cours proposé par Roy Davis, un expert en sécurité de l'information certifié CISSP, couvre la responsabilité des utilisateurs et des appareils, le phishing et autres e-mails malveillants, l'ingénierie sociale, la gestion des données, les questions de mot de passe et de sécurité, la navigation sécurisée, les appareils mobiles et les ransomwares. La fin du cours vous permet d'obtenir un certificat d'achèvement, ce qui est suffisant pour être conforme aux politiques de réglementation des données dans la plupart des lieux de travail.

#3. Cybersécurité : formation de sensibilisation pour les débutants absolus

La cyber-sécurité

Il s'agit d'un cours Udemy proposé par Usman Ashraf de Logix Academy, une startup de formation et de certification. Usman est certifié CISSP et possède un doctorat. dans les réseaux informatiques et beaucoup d'expérience dans l'industrie et l'enseignement.

Ce cours offre aux apprenants une plongée approfondie dans l'ingénierie sociale, les mots de passe, l'élimination sécurisée des données, les réseaux privés virtuels (VPN), les logiciels malveillants, les rançongiciels et les conseils de navigation sécurisée et explique comment les cookies sont utilisés pour suivre les personnes. Le cours est non technique.

#4. Ransomware révélé

Il s'agit d'un livre de Nihad A. Hassan, consultant indépendant en sécurité de l'information et expert en cybersécurité et en criminalistique numérique. Le livre enseigne comment atténuer et gérer les attaques de ransomwares et donne aux lecteurs un aperçu approfondi des différents types de ransomwares qui existent, de leurs stratégies de distribution et de leurs méthodes de récupération.

Aperçu Produit Notation Prix
Ransomware Revealed : Un guide du débutant pour se protéger et se remettre des attaques de ransomware Ransomware Revealed : Un guide du débutant pour se protéger et récupérer des attaques de ransomware $23.74 Acheter sur Amazon

Le livre couvre également les étapes à suivre en cas d'infection par un ransomware. Cela comprend comment payer des rançons, comment effectuer des sauvegardes et restaurer les fichiers affectés, et comment rechercher en ligne des outils de décryptage pour décrypter les fichiers infectés. Il explique également comment les organisations peuvent développer un plan de réponse aux incidents de ransomware pour minimiser les dommages causés par les ransomwares et récupérer rapidement les opérations normales.

#5. Rançongiciel : comprendre. Empêcher. Se remettre

Dans ce livre, Allan Liska, architecte de sécurité senior et spécialiste des ransomwares chez Recorded Future, répond à toutes les questions difficiles concernant les ransomwares.

Aperçu Produit Notation Prix
Rançongiciel : comprendre. Empêcher. Se remettre. Rançongiciel : comprendre. Empêcher. Se remettre. 17,99 $ Acheter sur Amazon

Le livre donne un contexte historique des raisons pour lesquelles les ransomwares sont devenus répandus ces dernières années, comment arrêter les attaques de ransomwares, les vulnérabilités que les acteurs malveillants ciblent à l'aide de ransomwares et un guide pour survivre à une attaque de ransomware avec un minimum de dommages. De plus, le livre répond à la question primordiale, devriez-vous payer la rançon ? Ce livre propose une exploration passionnante des ransomwares.

#6. Guide de protection contre les ransomwares

Pour tout individu ou organisation cherchant à s'armer contre les ransomwares, ce livre est une lecture incontournable. Dans ce livre, Roger A. Grimes, un expert en sécurité informatique et pénétration, offre sa vaste expérience et ses connaissances dans le domaine pour aider les personnes et les organisations à se protéger contre les ransomwares.

Aperçu Produit Notation Prix
Guide de protection contre les ransomwares Guide de protection contre les ransomwares 17,00 $ Acheter sur Amazon

Le livre propose un plan d'action pour les organisations qui cherchent à formuler des défenses solides contre les ransomwares. Il enseigne également comment détecter une attaque, limiter rapidement les dégâts et déterminer s'il faut payer la rançon ou non. Il propose également un plan de match pour aider les organisations à limiter les dommages à la réputation et les dommages financiers causés par de graves failles de sécurité.

Enfin, il enseigne comment créer une base sécurisée pour l'assurance cybersécurité et la protection juridique afin d'atténuer les perturbations des affaires et de la vie quotidienne.

Note de l'auteur

BlackCat est un rançongiciel révolutionnaire qui ne manquera pas de changer le statu quo en matière de cybersécurité. En mars 2022, BlackCat avait attaqué avec succès plus de 60 organisations et avait réussi à attirer l'attention du FBI. BlackCat est une menace sérieuse et aucune organisation ne peut se permettre de l'ignorer.

En utilisant un langage de programmation moderne et des méthodes non conventionnelles d'attaque, de cryptage et d'extorsion de rançon, BlackCat a laissé les experts en sécurité rattraper leur retard. Cependant, la guerre contre ce rançongiciel n'est pas perdue.

En mettant en œuvre les stratégies décrites dans cet article et en minimisant les risques d'erreur humaine pour exposer les systèmes informatiques, les organisations peuvent garder une longueur d'avance et empêcher l'attaque catastrophique du rançongiciel BlackCat.