Le Federal Bureau of Investigation (FBI) des États-Unis tire la sonnette d’alarme sur le rançongiciel BlackCat en tant que service (RaaS), qui, selon lui, a victimisé au moins 60 entités dans le monde entre mars 2022 et son émergence en novembre dernier.
Aussi appelé ALPHV et Noberus, le rançongiciel est remarquable pour être le tout premier logiciel malveillant écrit dans le langage de programmation Rust, qui est connu pour être sûr pour la mémoire et offrir des performances améliorées.
« De nombreux développeurs et blanchisseurs d’argent pour BlackCat/ALPHV sont liés à DarkSide/BlackMatter, ce qui indique qu’ils disposent de réseaux étendus et d’une expérience des opérations de ransomware », a déclaré le FBI dans un avis publié la semaine dernière.
La divulgation intervient des semaines après que des rapports jumeaux de Cisco Talos et Kasperksy ont découvert des liens entre les familles de rançongiciels BlackCat et BlackMatter, y compris l’utilisation d’une version modifiée d’un outil d’exfiltration de données baptisé Fendr qui n’avait été observé auparavant que dans les activités liées à BlackMatter.
« Outre les avantages de développement qu’offre Rust, les attaquants profitent également d’un taux de détection plus faible des outils d’analyse statique, qui ne sont généralement pas adaptés à tous les langages de programmation », a souligné AT&T Alien Labs plus tôt cette année.
Comme d’autres groupes RaaS, le modus operandi de BlackCat implique le vol des données des victimes avant l’exécution du rançongiciel, le maliciel tirant souvent parti des informations d’identification compromises de l’utilisateur pour obtenir un accès initial au système cible.
Dans un incident de rançongiciel BlackCat analysé par les laboratoires Vedere de Forescout, un pare-feu SonicWall exposé à Internet a été pénétré pour obtenir un accès initial au réseau, avant de passer à une ferme virtuelle VMware ESXi et de la chiffrer. Le déploiement du rançongiciel aurait eu lieu le 17 mars 2022.
L’agence d’application de la loi, en plus de recommander aux victimes de signaler rapidement les incidents de ransomware, a également déclaré qu’elle n’encourageait pas le paiement de rançons car rien ne garantit que cela permettra la récupération des fichiers cryptés. Mais il a reconnu que les victimes peuvent être obligées de tenir compte de ces demandes pour protéger les actionnaires, les employés et les clients.
À titre de recommandations, le FBI exhorte les organisations à examiner les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires actifs pour les comptes d’utilisateurs nouveaux ou non reconnus, à effectuer des sauvegardes hors ligne, à mettre en œuvre la segmentation du réseau, à appliquer les mises à jour logicielles et à sécuriser les comptes avec une authentification multifacteur.