Une nouvelle souche virulente de ransomware a infecté au moins 60 organisations différentes au cours des deux derniers mois, a averti le FBI.
Dans un rapport Flash, publié à la fin de la semaine dernière, l’agence de renseignement a déclaré que BlackCat, un acteur connu du ransomware en tant que service, avait compromis ces organisations en utilisant une souche écrite en RUST.
Ceci est quelque peu inhabituel étant donné que la plupart des rançongiciels sont écrits en C ou C++. Cependant, le FBI pense que ces acteurs de menace particuliers ont opté pour RUST car il est considéré comme un « langage de programmation plus sécurisé qui offre des performances améliorées et un traitement simultané fiable ».
Atténuations et défenses
BlackCat, également connu sous le nom d’ALHPV, exige généralement un paiement en Bitcoin et Monero en échange de la clé de déchiffrement, et bien que les demandes soient généralement « des millions », a souvent accepté des paiements inférieurs à la demande initiale, selon le FBI.
BlackCat a également des liens étroits avec Darkside (alias Blackmatter), explique en outre le FBI, suggérant que le groupe possède « des réseaux et une expérience étendus » dans l’exploitation d’attaques de logiciels malveillants et de ransomwares.
L’attaque commence généralement avec un compte déjà compromis, ce qui donne aux attaquants un accès initial au point de terminaison cible. Le groupe compromet ensuite les comptes d’utilisateurs et d’administrateurs d’Active Directory et utilise le planificateur de tâches Windows pour configurer des objets de stratégie de groupe (GPO) malveillants afin de déployer le ransomware.
Le déploiement initial utilise des scripts PowerShell, en conjonction avec Cobalt Strike, et désactive les fonctions de sécurité au sein du réseau de la victime.
On dit alors que les attaquants téléchargent autant de données que possible, avant de verrouiller les systèmes. Et ils cherchent même à extraire des données de tous les fournisseurs d’hébergement cloud qu’ils pourraient trouver.
Enfin, à l’aide de scripts Windows, le groupe cherche à déployer des rançongiciels sur des hôtes supplémentaires.
Le FBI a également créé une liste complète des mesures d’atténuation recommandées, qui incluent l’examen des contrôleurs de domaine, des serveurs, des postes de travail et des répertoires actifs pour les comptes d’utilisateurs nouveaux ou non reconnus ; en sauvegardant régulièrement les données, en examinant le planificateur de tâches pour les tâches planifiées non reconnues et en exigeant des informations d’identification d’administrateur pour tout processus d’installation de logiciel.