BlackCat, également connu sous le nom d’ALPHV, est un ransomware-as-a-service (RaaS) apparu fin 2021 qui s’est rapidement imposé comme l’une des menaces les plus sophistiquées et dangereuses dans le paysage des cyberattaques. Développé en langage Rust, ce qui est relativement rare pour les malwares, BlackCat a introduit plusieurs innovations techniques qui en font un adversaire redoutable pour les organisations du monde entier.
Les caractéristiques techniques principales du ransomware BlackCat
La première chose à savoir est que c’est un langage de programmation qui est développé en Rust, un langage performant et sécurisé et qui offre une meilleure portabilité entre différents systèmes d’exploitation Cela le rend beaucoup plus difficile à analyser par les chercheurs en sécurité que les langages traditionnels, d’où les dégâts qu’il a déjà causé.
Les méthodes d’infection
La première façon est l’exploitation de vulnérabilités dans les serveurs exposés, et qui est la plus courante, mais ce n’est pas le seul moyen qu’utilise ce ransomware, il y a aussi la compromission des identifiants RDP (Remote Desktop Protocol). Mais également l’utilisation de malwares initiaux comme point d’entrée (Qakbot, IcedID) et enfin le phishing ciblé contre des employés ayant des accès privilégiés.
Les techniques d’attaque avancées
La double extorsion extorsion tout d’abord, qui comporte le chiffrement des données et menace de publication ainsi que la triple extorsion avec l’ajout d’attaques DDoS pour faire pression sur les victimes
Il utilise aussi des techniques d’évasion sophistiquées contre les solutions antivirus et la suppression des sauvegardes et des instantanés pour empêcher la récupération, le tout est bien ficelé.
Son organisation et son modèle économique
Sa structure opérationnelle tout d’abord, et qui fonctionne selon le modèle RaaS (Ransomware-as-a-Service), et qui est plutôt courant. Une équipe centrale développe et maintient le malware.
Des affiliés déploient le ransomware et partagent les profits et les développeurs perçoivent entre 20% et 40% des rançons, la aussi, le tout est très bien rôdé pour maximiser le profit.
Les affiliations et les origines
BlackCat aurait des liens présumés avec les groupes DarkSide et BlackMatter, et certains chercheurs suspectent des connexions avec des acteurs russophones, très présent dans les dangers informatiques. D’après nos informations, plusieurs anciens membres de REvil auraient rejoint les rangs de BlackCat
Le montant des rançons
Si ce ransomware est utilisé, c’est évidemment dans un but financier, et avec de gros chiffres puisque les demandes varient généralement entre 400 000 $ et 3 millions $, les montants sont adaptés en fonction de la taille et du secteur de la victime.
Et comme à l’accoutumée, les paiements se font exclusivement en cryptomonnaies (Bitcoin, Monero), ce qui rend le traçable très compliqué voire impossible, notamment pour Monero.
Comment s’en prémunir ?
Tout d’abord, mieux vaut prévenir, avec la mise à jour régulière des systèmes et applications, l’authentification multifactorielle (MFA) sur tous les accès critiques, la formation de sensibilisation des employés aux risques de phishing et la egmentation réseau pour limiter la propagation latérale
Faire en sorte de le détecter est aussi indispensable, avec la surveillance active du réseau pour détecter les comportements anormaux et des systèmes de détection d’intrusion (IDS/IPS). L’analyse comportementale pour identifier les activités suspectes couplé avec une journalisation centralisée et surveillance des événements est aussi fortement recommandé.
Enfin, bien répondre aux incidents est aussi vitale, à commencer par mettre en place des plans de réponse aux incidents régulièrement testés, effectuer des sauvegardes hors ligne et immuables, mettre en place des procédures de restauration documentées et testées et avoir une communication préparée avec les parties prenantes (clients, autorités).
