Posté le juin 17, 2022 à 9:39
LE RANSOMWARE BLACKCAT DÉPLOYÉ SUR LES SERVEURS EXCHANGE NON CORRIGÉS
Microsoft a mis en garde ses utilisateurs contre le ransomware BlackCat qui exploite une vulnérabilité non corrigée sur les serveurs Exchange. Le ransomware procède à ces exploits pour cibler certains réseaux.
BlackCat cible un serveur Exchange non corrigé
Une fois que ces attaquants ont obtenu un point d’entrée, ils s’empressent de recueillir des informations sur les machines touchées. L’étape suivante consiste à voler les informations d’identification des utilisateurs et à mener des activités de mouvement latéral. Les attaquants récoltent ensuite la propriété intellectuelle, puis déposent la charge utile du ransomware.
Ces événements se sont produits en l’espace de deux semaines. L’équipe Microsoft 365 Defender Threat Intelligence a publié cette semaine un rapport indiquant que des informations d’identification compromises ont été utilisées pour se connecter aux comptes des utilisateurs.
« Dans un autre incident que nous avons observé, nous avons constaté qu’un affilié de l’attaquant de ransomware a obtenu un accès initial à l’environnement via un serveur Remote Desktop orienté Internet en utilisant des informations d’identification compromises pour se connecter », ont ajouté les chercheurs. Ils ont également noté comment les déploiements peuvent différer bien qu’ils soient menés par le même attaquant.
BlackCat est l’une des plus récentes entrées dans l’espace des ransomwares. Ce ransomware porte également d’autres noms comme Noberus et ALPHV. Il est également considéré comme le premier ransomware multiplateforme écrit en Rust. Cela illustre une tendance croissante des acteurs de menaces à se tourner vers des langages de programmation impopulaires pour éviter d’être détectés.
Le programme de ransomware-as-a-service (RaaS) fonctionne de différentes manières malgré les vecteurs d’accès initiaux qui ont été publiés. Le programme fonctionne en exfiltrant et en cryptant les données qui ont fait l’objet d’une demande de rançon afin de réaliser une double extorsion. Cette stratégie a entraîné une perte de données considérable pour les personnes et les entreprises ciblées.
Le programme RaaS est devenu très lucratif pour le monde cybercriminel. Le modèle est recherché par les individus qui cherchent à obtenir un maximum de bénéfices économiques. Le modèle se compose de trois acteurs clés.
Les acteurs impliqués dans le dispositif sont les courtiers d’accès (IAB) chargés de compromettre le réseau et de maintenir la persistance. Les opérateurs travaillent en développant et en maintenant les opérations de ransomware, tandis que les affiliés qui achètent l’accès aux IAB l’utilisent pour déployer la charge utile.
BlackCat est une menace croissante
Le Federal Bureau of Investigations (FBI) des États-Unis a récemment publié une alerte concernant des attaques par ransomware utilisant le ransomware BlackCat. Ces attaques ont visé une soixantaine d’institutions dans le monde. Le ransomware est utilisé depuis mars 2022 et a été repéré pour la première fois en novembre 2021.
Microsoft ajoute que « deux des groupes d’acteurs de menaces les plus prolifiques » ont utilisé ce ransomware. Parmi les familles de ransomware qui ont déployé BlackCat figurent Conti, Hive, LockBit 2.0 et REvil.
L’autre groupe de hackers notoire qui déploie le logiciel malveillant est DEV-0237. Ce groupe porte également le nom de FIN12, qui a été vu pour la dernière fois opérant dans le secteur de la santé en octobre 2021. DEV-0504 a aussi été trouvé en train d’utiliser le logiciel malveillant, et cet acteur de la menace est actif depuis 2020.
DEX-0504 est proactif et ne s’appuie pas entièrement sur le système RaaS. Son comportement montre qu’après l’arrêt du modèle RaaS, il se tourne vers le déplacement des charges utiles. Cela montre l’agressivité de l’acteur dans le maintien des attaques de ransomware.
Le mois dernier, Microsoft a publié un rapport sur cet acteur malveillant, indiquant que « DEV-0504 était responsable du déploiement du ransomware BlackCat dans des entreprises du secteur de l’énergie en janvier 2022. À peu près au même moment, DEV-0504 a également déployé BlackCat dans des attaques contre des entreprises de mode, de tabac, d’informatique et de fabrication, entre autres. »
Ces observations illustrent l’agressivité des groupes de ransomware qui ciblent les particuliers et les entreprises. Les rapports montrent que les acteurs affiliés ont pris le train en marche du RaaS pour monétiser leurs attaques. Le modèle s’est avéré lucratif pour les groupes de ransomware opérant à partir de motivations financières.
Ces acteurs de la menace ont également adopté différentes étapes préalables à la rançon pour exécuter la charge utile du ransomware. La charge utile est déployée dans le réseau de l’organisation ciblée. Le ransomware présente également des risques majeurs pour les approches de défense conventionnelles qui ont été adoptées par certaines organisations.
Les chercheurs ont par ailleurs ajouté qu’une vigilance accrue était nécessaire pour suivre les activités des groupes de ransomware. Ces groupes ont continué à faire des ravages dans les organisations et les héritages qui ne mettent pas en œuvre les meilleures pratiques Internet en changeant continuellement de tactique.
« La détection de menaces comme BlackCat, bien que bonne, n’est plus suffisante car les ransomwares opérés par des humains ont continué à croître, à évoluer, à s’adapter aux réseaux qu’ils déploient ou aux attaquants pour lesquels ils travaillent. Ces types d’attaques continuent de tirer parti de la mauvaise hygiène des informations d’identification d’une organisation et de ses anciennes configurations ou de ses mauvaises configurations pour réussir », ajoutent les chercheurs.
