Une cyberattaque est une tentative délibérée et malveillante d’obtenir un accès non autorisé à un système informatique ou à un réseau par le biais de vulnérabilités existantes. L’objectif est de voler des informations sensibles et de perturber le fonctionnement normal de l’entreprise.
Ces derniers temps, les ransomwares sont devenus l’outil de cyberattaque privilégié des cybercriminels. Les ransomwares se propagent généralement par le biais de courriels d’hameçonnage, de téléchargements “drive-by”, de logiciels piratés et de protocoles de bureau à distance, entre autres.
Une fois qu’un ordinateur a été infecté par un ransomware, celui-ci crypte les fichiers essentiels de l’ordinateur. Les pirates exigent ensuite une rançon pour restaurer les données cryptées.
Les cyberattaques peuvent compromettre la sécurité nationale d’un pays, paralyser les opérations dans des secteurs clés de l’économie et causer d’immenses dommages et de graves pertes financières. C’est exactement ce qui s’est passé avec la cyberattaque du ransomware WannaCry.
Le 12 mai 2017, un ransomware appelé WannaCry, qui proviendrait de Corée du Nord, s’est répandu dans le monde entier et a infecté plus de 200 000 systèmes informatiques dans plus de 150 pays en moins de deux jours. WannaCry a ciblé les systèmes informatiques fonctionnant avec le système d’exploitation Windows. Il a exploité une vulnérabilité dans le protocole de bloc de messages du serveur du système d’exploitation.
L’une des plus grandes victimes de l’attaque a été le Service national de santé du Royaume-Uni (NHS). Plus de 70 000 de ses appareils, y compris des ordinateurs, des salles d’opération, des équipements de diagnostic et des scanners IRM, ont été infectés. Les médecins n’ont pas pu accéder à leurs systèmes ou aux dossiers des patients dont ils avaient besoin pour s’occuper de ces derniers. Cette attaque a coûté au NHS près de 100 millions de dollars.
C’est dire à quel point les choses peuvent aller mal. Cependant, les choses peuvent devenir bien pires, en particulier avec les nouveaux ransomwares plus dangereux tels que BlackCat, qui laisse derrière lui un chemin plein de victimes.
Le ransomware BlackCat
Le ransomware BlackCat, appelé ALPHV par ses développeurs, est un logiciel malveillant qui, lorsqu’il infecte un système, exfiltre et crypte les données du système affecté. L’exfiltration consiste à copier et à transférer les données stockées dans un système.
Une fois que BlackCat a exfiltré et chiffré des données critiques, une demande de rançon payable en crypto-monnaie est formulée. Les victimes de BlackCat doivent payer la rançon demandée pour retrouver l’accès à leurs données.
BlackCat n’est pas un ransomware ordinaire. BlackCat a été le premier ransomware réussi à être écrit en Rust, contrairement aux autres ransomwares qui sont généralement écrits en C, C , C#, Java ou Python. En outre, BlackCat a été la première famille de ransomwares à disposer d’un site web en clair où sont divulguées les informations volées lors de leurs attaques.
Une autre différence essentielle par rapport aux autres ransomwares est que BlackCat fonctionne comme un ransomware en tant que service (RaaS). Le RaaS est un modèle commercial de cybercriminalité dans lequel les créateurs de ransomwares louent ou vendent leurs ransomwares en tant que service à d’autres individus ou groupes.
Dans ce modèle, les créateurs de ransomware fournissent tous les outils et l’infrastructure nécessaires pour que d’autres personnes puissent distribuer et exécuter des attaques par ransomware. En échange, ils perçoivent une partie des bénéfices générés par le paiement des ransomwares.
Cela explique pourquoi BlackCat a principalement ciblé les organisations et les entreprises, qui sont généralement plus disposées à payer la rançon que les particuliers. Les organisations et les entreprises paient également une rançon plus importante que les particuliers. Les personnes qui guident et prennent des décisions dans les cyberattaques sont connues sous le nom d’acteurs de la cybermenace (CTA).
Pour obliger les victimes à payer la rançon, BlackCat utilise la “triple technique d’extorsion”. Cette technique consiste à copier et à transférer les données des victimes et à les crypter sur leurs systèmes. Les victimes sont ensuite invitées à payer une rançon pour accéder à leurs données cryptées. Si elles ne le font pas, leurs données sont divulguées au public et/ou des attaques par déni de service (DOS) sont lancées sur leurs systèmes.
Enfin, les personnes concernées par la fuite de données sont contactées et informées que leurs données seront divulguées. Il s’agit généralement de clients, d’employés et d’autres affiliés de l’entreprise. Le but est de pousser les organisations victimes à payer une rançon afin d’éviter une perte de réputation et des poursuites judiciaires résultant de la fuite de données.
Comment fonctionne le ransomware BlackCat
Selon une alerte flash publiée par le FBI, le ransomware BlackCat utilise les informations d’identification d’utilisateurs précédemment compromis pour accéder aux systèmes.
Une fois qu’il a réussi à pénétrer dans le système, BlackCat utilise l’accès dont il dispose pour compromettre les comptes d’utilisateur et d’administrateur stockés dans l’Active Directory. Cela lui permet d’utiliser le planificateur de tâches de Windows pour configurer des objets de stratégie de groupe (GPO) malveillants qui permettent à BlackCat de déployer son ransomware pour crypter les fichiers d’un système.
Lors d’une attaque BlackCat, des scripts PowerShell sont utilisés avec Cobalt Strike pour désactiver les fonctions de sécurité du réseau de la victime. BlackCat vole ensuite les données des victimes là où elles sont stockées, y compris chez les fournisseurs de services en nuage. Une fois cette étape franchie, l’acteur de la cybermenace à l’origine de l’attaque déploie le ransomware BlackCat pour crypter les données du système de la victime.
Les victimes reçoivent alors une note de rançon les informant que leur système a subi une attaque et que des fichiers importants ont été chiffrés. La note fournit également des instructions sur la manière de payer la rançon.
Pourquoi BlackCat est-il plus dangereux qu’un ransomware classique ?
BlackCat est plus dangereux qu’un ransomware classique pour un certain nombre de raisons :
Il est écrit en Rust
Rust est un langage de programmation rapide et sûr qui offre de meilleures performances et une gestion efficace de la mémoire. En utilisant Rust, BlackCat bénéficie de tous ces avantages, ce qui en fait un ransomware très complexe et efficace avec un chiffrement rapide. Cela rend également BlackCat difficile à désosser. Rust est un langage multiplateforme qui permet aux acteurs de la menace de personnaliser facilement BlackCat pour cibler différents systèmes d’exploitation, tels que Windows et Linux, augmentant ainsi le nombre de victimes potentielles.
Il utilise un modèle commercial RaaS
L’utilisation par BlackCat d’un modèle de ransomware en tant que service permet à de nombreux acteurs de la menace de déployer des ransomwares complexes sans avoir à savoir comment en créer un. BlackCat s’occupe de tout pour les acteurs de la menace, qui n’ont plus qu’à le déployer dans un système vulnérable. Cela facilite les attaques de ransomwares sophistiqués pour les acteurs de la menace intéressés par l’exploitation de systèmes vulnérables.
Il offre d’importantes rémunérations aux affiliés
BlackCat utilisant un modèle Raas, ses créateurs gagnent de l’argent en prélevant une partie de la rançon payée aux acteurs de la menace qui le déploient. Contrairement à d’autres familles de Raas qui prélèvent jusqu’à 30 % du montant de la rançon versée par l’acteur de la menace, BlackCat permet à ce dernier de conserver 80 à 90 % de la rançon qu’il perçoit. L’attrait de BlackCat pour les acteurs de la menace s’en trouve renforcé, ce qui lui permet d’attirer davantage d’affiliés désireux de le déployer dans le cadre de cyberattaques.
Il dispose d’un site de fuite public sur le web clair
Contrairement à d’autres ransomwares qui font fuir les informations volées sur le dark web, BlackCat fait fuir les informations volées sur un site web accessible en clair. En divulguant des données volées en clair, un plus grand nombre de personnes peuvent y accéder, ce qui augmente les répercussions d’une cyberattaque et exerce une pression accrue sur les victimes pour qu’elles paient la rançon.
Le langage de programmation Rust a permis à BlackCat d’être très efficace dans son attaque. En utilisant un modèle Raas et en offrant un énorme paiement, BlackCat attire davantage d’acteurs de la menace qui sont plus susceptibles de le déployer dans des attaques.
Chaîne d’infection du ransomware BlackCat
BlackCat obtient un accès initial à un système en utilisant des informations d’identification compromises ou en exploitant les vulnérabilités du serveur Microsoft Exchange. Après avoir accédé à un système, les acteurs malveillants réduisent les défenses de sécurité du système, recueillent des informations sur le réseau de la victime et élèvent leurs privilèges.
Le ransomware BlackCat se déplace ensuite latéralement dans le réseau, en accédant à autant de systèmes que possible. Cela s’avère utile au moment de la demande de rançon. Plus il y a de systèmes attaqués, plus la victime est susceptible de payer la rançon.
Les acteurs malveillants exfiltrent alors les données du système qui seront utilisées pour l’extorsion. Une fois que les données critiques ont été exfiltrées, le terrain est propice à la livraison de la charge utile BlackCat.
Les acteurs malveillants livrent BlackCat à l’aide de Rust. BlackCat commence par arrêter des services tels que les sauvegardes, les applications antivirus, les services Internet Windows et les machines virtuelles. Ensuite, BlackCat chiffre les fichiers du système et modifie l’image d’arrière-plan du système en la remplaçant par la demande de rançon.
Protégez-vous du ransomware BlackCat
Bien que BlackCat s’avère plus dangereux que les autres ransomwares observés auparavant, les entreprises peuvent s’en protéger de plusieurs manières :
Cryptez les données critiques
Une partie de la stratégie d’extorsion de Blackhat consiste à menacer de faire fuir les données de la victime. En chiffrant les données critiques, une organisation ajoute une couche supplémentaire de protection à ses données, paralysant ainsi les techniques d’extorsion utilisées par les acteurs de la menace BlackHat. Même en cas de fuite, les données ne seront pas dans un format lisible par l’homme.
Mettez régulièrement vos systèmes à jour
Des recherches menées par Microsoft ont révélé que, dans certains cas, BlackCat exploitait des serveurs d’échange non corrigés pour accéder aux systèmes d’une organisation. Les éditeurs de logiciels publient régulièrement des mises à jour pour corriger les vulnérabilités et les problèmes de sécurité qui ont pu être découverts dans leurs systèmes. Par mesure de sécurité, installez les correctifs logiciels dès qu’ils sont disponibles.
Sauvegardez vos données en lieu sûr
Les organisations devraient donner la priorité à la sauvegarde régulière des données et à leur stockage dans un emplacement hors ligne distinct et sûr. Ainsi, même si des données critiques sont cryptées, elles pourront toujours être restaurées à partir des sauvegardes existantes.
Mettez en œuvre l’authentification multifactorielle
Outre l’utilisation de mots de passe forts dans un système, mettez en œuvre l’authentification multifactorielle, qui exige des informations d’identification multiples avant d’accorder l’accès à un système. Pour ce faire, vous pouvez configurer un système de manière à ce qu’il génère un mot de passe à usage unique, envoyé à un numéro de téléphone ou à une adresse électronique liés, qui est nécessaire pour accéder à un système.
Surveillez l’activité sur un réseau et les fichiers dans un système
Les organisations doivent surveiller en permanence l’activité de leurs réseaux afin de détecter les activités suspectes et d’y répondre le plus rapidement possible. Les activités sur un réseau doivent également être enregistrées et examinées par des experts en sécurité afin d’identifier les menaces potentielles. Enfin, des systèmes doivent être mis en place pour suivre l’accès aux fichiers d’un système, les personnes qui y accèdent et l’utilisation qui en est faite.
En chiffrant les données critiques, en s’assurant que les systèmes sont à jour, en sauvegardant régulièrement les données, en mettant en place une authentification multifactorielle et en surveillant l’activité d’un système, les organisations peuvent prendre une longueur d’avance sur les attaques. Les organisations peuvent prendre de l’avance et prévenir les attaques de BlackCat.
Attaques du ransomware Blackcat
#1. Reddit
Blackcat a accédé aux systèmes de Reddit en février 2023 et aurait volé 80 Go de données, dont des documents internes, du code, etc.
Tout a commencé par une campagne d’attaque bien ciblée, communément appelée spear phishing, contre quelques employés de Reddit. Cela a semblé fonctionner contre un employé qui est tombé dans le piège en donnant ses identifiants à l’intranet de l’entreprise.
Le groupe de ransomware a exigé 80 millions de dollars américains pour supprimer les données volées et a demandé à Reddit de revenir sur l’augmentation du prix de son API. Toutefois, Reddit a rapidement démenti toute allégation de fuite de données sensibles.
À l’heure où nous écrivons ces lignes, ALPHV n’a pas réussi à faire pression sur l’entreprise de médias sociaux pour qu’elle paie le montant de la rançon.
#2. MGM Resort
Le 20 septembre 2023, MGM Resorts, l’un des principaux hôtels et casinos, a été touché par une attaque de ransomware Blackcat.
L’attaque aurait commencé par une technique d’hameçonnage bien connue, l’hameçonnage vocal ou vishing. L’un des cyberattaquants s’est fait passer pour un employé de MGM et a convaincu le service d’assistance informatique de réinitialiser un mot de passe, ce qui a ouvert la voie à l’attaque suivante.
Comme dans ce type d’attaque, les criminels ont crypté une partie du réseau de la MGM et exfiltré des données sensibles. Ils ont menacé la MGM de payer la rançon ou de subir d’autres attaques.
On sait que la MGM a perdu 100 millions de dollars US en rançon dans cette malheureuse série d’incidents.
#3. Cour de circuit de Floride
Dans un incident similaire qui a fait surface en octobre 2023, le gang du ransomware Blackcat a ciblé des tribunaux du nord-ouest de la Floride, affirmant avoir volé des données personnelles comme les numéros de sécurité sociale des employés de la Cour d’appel. En outre, ALPHV a révélé qu’il possédait le plan du réseau du système informatique du tribunal, ainsi que les identifiants de service.
À l’heure où nous écrivons ces lignes, nous ne savons pas si les demandes de rançon ont été satisfaites ou si le tribunal de Floride a débarrassé ses systèmes de tout logiciel malveillant et/ou de toute porte dérobée éventuelle.
Ressources pédagogiques : Ransomware
Pour en savoir plus sur les cyberattaques et sur la manière de vous protéger contre les attaques de ransomwares tels que BlackCat, nous vous recommandons de suivre l’un des cours suivants ou de lire les ouvrages suggérés ci-dessous :
#1. Formation à la sensibilisation à la sécurité
Il s’agit d’un cours extraordinaire pour tous ceux qui souhaitent être en sécurité sur l’internet. Michael Biocchi, un professionnel certifié de la sécurité des systèmes d’information (CISSP).
Le cours couvre le phishing, l’ingénierie sociale, les fuites de données, les mots de passe, la navigation sécurisée et les appareils personnels, et offre des conseils généraux sur la manière d’être en sécurité en ligne. Le cours est régulièrement mis à jour et tous ceux qui utilisent l’internet peuvent en bénéficier.
#2. Formation de sensibilisation à la sécurité, Sécurité Internet pour les employés
Ce cours s’adresse aux utilisateurs quotidiens d’Internet et vise à les informer sur les menaces de sécurité dont ils n’ont souvent pas conscience et sur la manière de s’en protéger.
Le cours proposé par Roy Davis, un expert en sécurité de l’information certifié CISSP, couvre la responsabilité des utilisateurs et des appareils, le phishing et autres courriels malveillants, l’ingénierie sociale, la manipulation des données, les mots de passe et les questions de sécurité, la navigation sécurisée, les appareils mobiles et les ransomwares. En suivant ce cours, vous obtiendrez un certificat d’achèvement, ce qui est suffisant pour respecter les politiques de réglementation des données dans la plupart des lieux de travail.
#3. La cybersécurité : Formation de sensibilisation pour les débutants absolus
Il s’agit d’un cours Udemy proposé par Usman Ashraf de Logix Academy, une startup de formation et de certification. Usman est certifié CISSP et possède un doctorat en réseaux informatiques ainsi qu’une grande expérience de l’industrie et de l’enseignement.
Ce cours offre aux apprenants une plongée profonde dans l’ingénierie sociale, les mots de passe, l’élimination sécurisée des données, les réseaux privés virtuels (VPN), les logiciels malveillants, les ransomwares, les conseils de navigation sécurisée et explique comment les cookies sont utilisés pour tracer les gens. Ce cours n’est pas technique.
#4. Ransomware Revealed
Il s’agit d’un livre de Nihad A. Hassan, consultant indépendant en sécurité de l’information et expert en cybersécurité et en criminalistique numérique. Le livre enseigne comment atténuer et gérer les attaques de ransomware et donne aux lecteurs un aperçu approfondi des différents types de ransomware qui existent, de leurs stratégies de distribution et de leurs méthodes de récupération.
| Preview | Product | Rating | |
|---|---|---|---|
|
Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks | Buy on Amazon |
Le livre aborde également les étapes à suivre en cas d’infection par un ransomware. Il explique notamment comment payer les rançons, comment effectuer des sauvegardes et restaurer les fichiers affectés, et comment rechercher en ligne des outils de décryptage pour décrypter les fichiers infectés. Il explique également comment les organisations peuvent élaborer un plan d’intervention en cas d’incident lié à un ransomware afin de minimiser les dommages causés par le ransomware et de rétablir rapidement le fonctionnement normal de l’entreprise.
#5. Manuel de protection contre les ransomwares
Pour toute personne ou organisation cherchant à s’armer contre les ransomwares, ce livre est à lire absolument. Dans ce livre, Roger A. Grimes, un expert en sécurité informatique et en pénétration, offre sa vaste expérience et ses connaissances dans le domaine pour aider les personnes et les organisations à se protéger contre les ransomwares.
| Preview | Product | Rating | |
|---|---|---|---|
|
Ransomware Protection Playbook | Buy on Amazon |
Le livre propose un plan d’action pour les organisations qui cherchent à formuler des défenses solides contre les ransomwares. Il explique également comment détecter une attaque, limiter rapidement les dégâts et déterminer s’il faut ou non payer la rançon. Il propose également un plan de match pour aider les organisations à limiter les dommages financiers et de réputation causés par des failles de sécurité graves.
Enfin, il explique comment établir une base solide pour l’assurance cybersécurité et la protection juridique afin d’atténuer les perturbations de l’activité et de la vie quotidienne.
Note de l’auteur
BlackCat est un ransomware révolutionnaire qui va changer le statu quo en matière de cybersécurité. En mars 2022, BlackCat avait attaqué avec succès plus de 60 organisations et réussi à attirer l’attention du FBI. BlackCat représente une menace sérieuse et aucune organisation ne peut se permettre de l’ignorer.
En utilisant un langage de programmation moderne et des méthodes d’attaque, de chiffrement et d’extorsion de rançon non conventionnelles, BlackCat a laissé les experts en sécurité dans l’expectative. Cependant, la guerre contre ce ransomware n’est pas perdue.
En mettant en œuvre les stratégies décrites dans cet article et en réduisant au minimum les risques d’erreur humaine susceptibles d’exposer les systèmes informatiques, les organisations peuvent garder une longueur d’avance et empêcher l’attaque catastrophique du ransomware BlackCat.