Suite à une série d’attaques récentes, le célèbre rançongiciel BlackCat pourrait être sur le point de devenir beaucoup plus méchant, selon de nouvelles recherches.
Un rapport de Sophos a déclaré que les acteurs de la menace derrière le ransomware semblent maintenant avoir ajouté l’outil Brute Ratel à leur arsenal, rendant l’outil d’autant plus dangereux.
Brute Ratel est un outil de test de pénétration et de simulation d’attaque, similaire mais moins connu que, par exemple, Cobalt Strike.
Cibler les systèmes obsolètes
« Ce que nous constatons récemment avec BlackCat et d’autres attaques, c’est que les acteurs de la menace sont très efficaces et efficients dans leur travail. Ils utilisent des méthodes éprouvées, comme attaquer les pare-feux et les VPN vulnérables, car ils savent que ceux-ci fonctionnent toujours. Mais ils font preuve d’innovation pour éviter les défenses de sécurité, comme le passage au nouveau framework C2 post-exploitation Brute Ratel dans leurs attaques », a déclaré (s’ouvre dans un nouvel onglet) Christopher Budd, directeur principal, recherche sur les menaces, Sophos.
Brute Ratel n’est pas le seul outil utilisé, car lors de l’analyse d’incidents précédents, BlackCat a été observé en train d’utiliser d’autres outils open source et disponibles dans le commerce pour créer des portes dérobées supplémentaires et d’autres alternatives d’accès à distance, telles que TeamViewer ou nGrok. De toute évidence, Cobalt Strike a également été utilisé.
Habituellement, les opérateurs BlackCat recherchent des pare-feu obsolètes (s’ouvre dans un nouvel onglet) et les services VPN non corrigés, comme point d’entrée initial. Depuis décembre 2021, ils ont réussi à infiltrer avec succès au moins quatre organisations, en exploitant les vulnérabilités des pare-feu.
Une fois qu’ils auront obtenu l’accès au réseau, ils utiliseront les pare-feu pour extraire les informations d’identification et se déplaceront librement latéralement dans le système.
BlackCat ne semble favoriser aucune victime en particulier, la menace ciblant les entreprises aux États-Unis, en Europe et en Asie.
La seule condition préalable à une attaque est que l’entreprise opère sur des systèmes qui ont atteint la fin de leur vie, n’ont pas d’authentification multifacteur ou de VPN, et utilisent des réseaux plats (où chaque terminal a une visibilité sur tous les autres terminaux du réseau ).
« Le dénominateur commun de toutes ces attaques est qu’elles étaient faciles à réaliser. Dans un cas, les mêmes attaquants BlackCat ont installé des cryptomineurs un mois avant de lancer le ransomware. Cette dernière recherche souligne à quel point il est important de suivre les meilleures pratiques de sécurité établies ; ils ont encore beaucoup de pouvoir pour prévenir et contrecarrer les attaques, y compris les attaques multiples contre un seul réseau. »