L’armée paraguayenne met en garde contre les attaques de ransomware Black Hunt après que Tigo Business a subi une cyberattaque la semaine dernière ayant un impact sur les services de cloud computing et d’hébergement de la division commerciale de l’entreprise.

Tigo est le plus grand opérateur de téléphonie mobile au Paraguay, avec sa division Tigo Business qui propose des solutions numériques aux entreprises, notamment des conseils en cybersécurité, l’hébergement dans le cloud et les centres de données, ainsi que des solutions de réseau étendu (WAN).

Au cours du week-end, les médias locaux ont rapporté que les entreprises faisaient face à des pannes sur leurs sites Web hébergés chez Tigo Business depuis jeudi.

Alors que l’on soupçonnait que Tigo avait subi une cyberattaque, la société n’a officiellement confirmé l’attaque que le week-end, lorsqu’elle a publié un communiqué.

« Le 4 janvier, nous avons été victimes d’un incident de sécurité dans notre infrastructure en tant que service Tigo Business Paraguay, qui a affecté la fourniture normale de certains services spécifiques à un groupe limité de clients du segment des entreprises (entreprises). »lit une déclaration de Tigo Business.

La déclaration poursuit en disant qu’une grande partie des informations rapportées en ligne sont inexactes et que l’attaque n’a pas affecté Internet, les services téléphoniques et les portefeuilles électroniques Tigo Money.

Bien que Tigo n’ait fourni aucun détail concernant la cyberattaque, de nombreux rapports sur les réseaux sociaux indiquent qu’ils ont subi une attaque de l’opération de ransomware Black Hunt.

Ces rapports indiquaient que plus de 330 serveurs étaient cryptés et que les sauvegardes avaient été compromises lors de l’attaque.

Le lendemain, la Direction Générale des Technologies de l’Information et de la Communication des Forces armées paraguayennes (FFAA) du Paraguay a émis une alerte avertissant les entreprises du pays des attaques de ransomware Black Hunt.

« Le DSIRT-MIL du DIGETIC / FFAA émet une alerte officielle concernant le récent incident de cybersécurité qui a eu un impact significatif sur l’un des principaux fournisseurs de services Internet du pays et qui a eu un impact direct sur plus de 300 entreprises associées audit opérateur, compromettant les sauvegardes, les pages Web, les courriels et leur stockage dans le cloud », lit-on dans un avertissement désormais supprimé du paraguayen DSIRT-MIL.

« L’incident qui s’est produit, selon les rapports de spécialistes de la cybersécurité, est une infection par ransomware liée à un groupe de cybercriminels appelé Black Hunt. »

Le bulletin a été rapidement supprimé, le DSIRT-MIL déclarant qu’il n’était lié à aucun incident de cybersécurité.

Qui est Black Hunt ransomware
L’opération de ransomware Black Hunt a été lancée fin 2022 lorsque les chercheurs en cybersécurité ont commencé à signaler des attaques. De nombreuses victimes vues par Breachtrace, les acteurs de la menace attaquent couramment les entreprises en Amérique du Sud.

Comme d’autres opérations de ransomware, les acteurs de la menace violent les réseaux d’entreprise et se propagent silencieusement latéralement à d’autres appareils jusqu’à ce qu’ils obtiennent suffisamment d’accès pour déployer les chiffreurs sur le réseau.

Lorsque les chiffreurs sont lancés, ils exécutent les commandes suivantes pour effacer les journaux d’événements Windows, supprimer les Clichés instantanés de volumes et les journaux NTFS et désactiver les options de récupération Windows.

cmd.exe /c vssadmin.exe Delete Shadows /all /quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
cmd.exe /c fsutil.exe usn deletejournal /D C:
cmd.exe /c wbadmin.exe delete catalog -quiet
cmd.exe /c schtasks.exe cmd.exe /change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
cmd.exe /c wevtutil.exe cl Setup
cmd.exe /c wevtutil.exe cl System
cmd.exe /c wevtutil.exe cl Application
cmd.exe /c wevtutil.exe cl Security
cmd.exe /c wevtutil.exe cl Security /e:false

En plus de ce qui précède, Black Hunt effectuera un grand nombre de modifications sur Windows, notamment la désactivation de Microsoft Defender, l’ajout de nouveaux utilisateurs, la suppression de la restauration du système et la désactivation du Gestionnaire des tâches et de la commande Exécuter.

Alors que tous les appareils Windows doivent être restaurés après une infection par un logiciel malveillant, ceux infectés par Black Hunt seront assez inutilisables jusqu’à ce que Windows soit réinstallé.

Lors du cryptage des fichiers, le chiffreur ransomware ajoutera une extension au format [unique_id].[e-mail de contact].Chasse 2 (nouvelles versions) ou [unique_id].[e-mail de contact].Noir (anciennes versions).

Fichiers cryptés par le ransomware Black Hunt

Dans chaque dossier, le chiffreur créera des notes de rançon nommées #BlackHunt_ReadMe.hta et #Chassezle noir_laissez-moi.txt, qui contiennent des informations sur l’attaque et les adresses e-mail pouvant être utilisées pour contacter les auteurs de la menace.

Note de rançon de Chasse noire

Alors que les notes de rançon affirment que les pirates volent des données lors d’attaques, il n’y a eu aucun cas connu d’opération de ransomware divulguant des données volées.

De plus, un site Tor répertorié dans la version HTML de la demande de rançon ne fonctionne pas et semble faux.

Cependant, comme les auteurs de la menace avaient un accès complet aux appareils cryptés, il est plus sûr de supposer que les données ont été exposées lors des attaques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *