Le ransomware BlackCat attaque plus de 60 organisations dans le monde

Dans une alerte TLP:WHITEFLASH publiée hier en coordination avec l'Agence de Cyber Sécurité des Infrastructures (CISA), le FBI affirme que le célèbre gang de rançongiciel BlackCat a violé la sécurité de plus de 60 réseaux d'organisations dans le monde entre novembre 2021 et mars 2022.

Le document fait partie d'une série de rapports qui se concentrent sur les indicateurs de compromission (IOC) et les tactiques, techniques et procédures (TTP) liés aux souches de ransomware identifiées par le FBI lors d'enquêtes précédentes.

BlackCat, également connu sous le nom d'ALPHV, est un groupe de cybercriminalité qui exécute une opération Ransomware-as-a-Service (RaaS). La campagne malveillante a compromis au moins 60 entités dans le monde et "est le premier groupe de ransomware à le faire avec succès en utilisant RUST, considéré comme un langage de programmation plus sécurisé qui offre des performances améliorées et un traitement simultané fiable", selon l'alerte FLASH du FBI.

Le groupe utilise des informations d'identification précédemment compromises pour violer la machine cible. Une fois qu'il y a accès, BlackCat configure des objets de stratégie de groupe (GPO) malveillants via le planificateur de tâches Windows pour déployer un ransomware.

Initialement, le logiciel malveillant exploite une combinaison de scripts PowerShell et de Cobalt Strike pour désactiver les fonctions de sécurité sur le réseau compromis. Au cours de l'attaque, BlackCat/ALPHV exploite également les composants internes de Microsoft Sys et les outils d'administration Windows, vole les données des victimes et diffuse des ransomwares sur des hôtes supplémentaires en exploitant les scripts Windows.

Le FBI exhorte les victimes à coopérer avec les autorités et leur conseille de ne pas payer la rançon. Ils encouragent les victimes à partager toute information qui pourrait les aider à intercepter les auteurs, y compris les journaux IP, les identifiants et adresses de transaction Bitcoin ou Monero, le fichier de déchiffrement des données, toute communication avec les cybercriminels ou un "échantillon bénin d'un fichier chiffré".

Le FBI a également inclus une liste de mesures d'atténuation recommandées pour aider les administrateurs réseau à éviter les attaques de ransomware BlackCat, telles que :

• Implémenter une segmentation du réseau
• Sauvegarder régulièrement les données
• Effectuer des sauvegardes à froid (hors ligne, ou du moins pas à l'emplacement où résident les données d'origine)
• Vérifier régulièrement le planificateur de tâches Windows pour identifier les tâches planifiées non reconnues
• Examiner les historiques de l'antivirus
• Maintenir à jour les solutions antivirus et antimalware sur tous les hôtes
• Utiliser l'authentification à plusieurs facteurs (MFA)
• Prioriser les mises à jour et les correctifs du système
• Désactiver des ports d'accès à distance inutilisés et surveiller les journaux d'accès à distance