La North Carolina A&T State University, la plus grande université historiquement noire des États-Unis, a récemment été frappée par un groupe de rançongiciels appelé ALPHV, envoyant le personnel de l’université dans une bousculade pour restaurer les services le mois dernier.
« Cela affecte beaucoup de mes cours, surtout depuis que je prends quelques cours de codage, mes cours ont été annulés », a déclaré Melanie McLellan, étudiante en génie des systèmes industriels, au journal de l’école, The A&T Register. « Ils ont été éloignés, je n’ai toujours pas pu faire mes devoirs. »
Le journal indique que la violation s’est produite la semaine du 7 mars alors que les étudiants et les professeurs étaient en vacances de printemps. Les systèmes supprimés par l’intrusion comprenaient des connexions sans fil, des instructions Blackboard, des sites Web à authentification unique, VPN, Jabber, Qualtrics, Banner Document Management et Chrome River, dont beaucoup sont restés en panne lorsque le journal étudiant a publié son article il y a deux semaines.
Le rapport est venu un jour après que North Carolina A&T est apparu sur un site darknet qu’ALPHV utilise pour nommer et faire honte aux victimes dans le but de les persuader de payer une forte rançon.
ALPHV, qui porte également le nom de Black Cat, est un nouveau venu sur la scène des ransomwares en tant que service, dans laquelle un groupe central de développeurs travaille avec des affiliés pour infecter les victimes, puis partage les bénéfices qui en résultent. Certains de ses membres ont décrit ALPHV comme un successeur des groupes de rançongiciels BlackMatter et REvil, et jeudi, des chercheurs de la société de sécurité Kaspersky ont présenté des preuves à l’appui de cette affirmation.
Réutilisation effrontée du code
Un outil d’exfiltration précédemment utilisé exclusivement par BlackMatter, a déclaré Kaspersky, est utilisé par ALPHV / Black Cat et « représente un nouveau point de données reliant BlackCat à l’activité passée de BlackMatter ». Auparavant, BlackMatter utilisait l’outil dit Fendr pour collecter des données avant de les chiffrer sur le serveur de la victime. L’exfiltration prend en charge un modèle de double extorsion qui nécessite un paiement non seulement pour une clé de déchiffrement, mais aussi pour un petit serment que les criminels ne rendront pas les données publiques.
« Dans le passé, BlackMatter a donné la priorité à la collecte d’informations sensibles avec Fendr pour prendre en charge avec succès leur système de double coercition, tout comme BlackCat le fait maintenant, et cela démontre un exemple pratique mais effronté de réutilisation de logiciels malveillants pour exécuter leur chantage à plusieurs niveaux », Les chercheurs de Kaspersky ont écrit. « La modification de cet outil réutilisé démontre un schéma de planification et de développement plus sophistiqué pour adapter les exigences aux environnements cibles, caractéristique d’un programme criminel plus efficace et plus expérimenté. »
Kaspersky a déclaré que le rançongiciel ALPHV est inhabituel car il est écrit dans le langage de programmation Rust. Autre bizarrerie : l’exécutable individuel du ransomware est compilé spécifiquement pour l’organisation ciblée, souvent quelques heures seulement avant l’intrusion, de sorte que les identifiants de connexion précédemment collectés sont codés en dur dans le binaire.
Le message de jeudi indiquait que les chercheurs de Kaspersky avaient observé deux violations d’AlPHV, l’une sur un fournisseur d’hébergement cloud au Moyen-Orient et l’autre contre une société pétrolière, gazière, minière et de construction en Amérique du Sud. C’est lors du deuxième incident que Kaspersky a détecté l’utilisation de Fendr. Parmi les autres infractions attribuées à ALPHV figurent deux fournisseurs de pétrole allemands et la marque de mode de luxe Moncler.
A&T est la septième université ou université américaine à être touchée par un ransomware jusqu’à présent cette année, selon Brett Callow, analyste en sécurité à la société de sécurité Emsisoft. Callow a également déclaré qu’au moins huit districts scolaires ont également été touchés, perturbant les opérations dans pas moins de 214 écoles.