Le gang de ransomwares BlackCat (ALPHV) utilise désormais des comptes Microsoft volés et le chiffreur Sphynx récemment repéré pour chiffrer le stockage cloud Azure des cibles.

En enquêtant sur une récente violation, les intervenants de Sophos X-Ops ont découvert que les attaquants utilisaient une nouvelle variante de Sphynx avec une prise en charge supplémentaire pour l’utilisation d’informations d’identification personnalisées.

Après avoir accédé au compte Sophos Central à l’aide d’un mot de passe à usage unique (OTP) volé, ils ont désactivé la protection contre les falsifications et modifié les politiques de sécurité. Ces actions ont été possibles après avoir volé l’OTP du coffre-fort LastPass de la victime à l’aide de l’extension LastPass Chrome.

Par la suite, ils ont chiffré les systèmes du client Sophos et le stockage cloud Azure distant et ont ajouté l’extension .zk09cvt à tous les fichiers verrouillés. Au total, les opérateurs de ransomware ont réussi à chiffrer 39 comptes Azure Storage.

Ils ont infiltré le portail Azure de la victime à l’aide d’une clé Azure volée qui leur a permis d’accéder aux comptes de stockage ciblés. Les clés utilisées dans l’attaque ont été injectées dans le binaire du ransomware après avoir été codées en Base64.

Les attaquants ont également utilisé plusieurs outils de surveillance et de gestion à distance (RMM) tels qu’AnyDesk, Splashtop et Atera tout au long de l’intrusion.

Sophos a découvert la variante Sphynx en mars 2023 lors d’une enquête sur une violation de données qui partageait des similitudes avec une autre attaque décrite dans un rapport IBM-Xforce publié en mai (l’outil ExMatter a été utilisé pour extraire les données volées dans les deux cas).

Microsoft a également découvert le mois dernier que le nouveau chiffreur Sphynx intègre l’outil de piratage Remcom et le cadre réseau Impacket pour les mouvements latéraux sur les réseaux compromis.

Exemple de demande de rançon BlackCat

En tant qu’opération de ransomware apparue en novembre 2021, BlackCat/ALPHV est soupçonné d’être une nouvelle marque DarkSide/BlackMatter.

Initialement connu sous le nom de DarkSide, ce groupe a attiré l’attention du monde entier après avoir violé Colonial Pipeline, attirant immédiatement l’attention des forces de l’ordre internationales.

Bien qu’ils aient été rebaptisés BlackMatter en juillet 2021, leurs opérations ont été brusquement interrompues en novembre lorsque les autorités ont saisi leurs serveurs et que la société de sécurité Emsisoft a développé un outil de décryptage exploitant une vulnérabilité du ransomware.

Ce gang a toujours été reconnu comme l’un des groupes de ransomwares les plus sophistiqués et les plus médiatisés qui ciblent les entreprises à l’échelle mondiale, adaptant et affinant continuellement ses tactiques.

Par exemple, dans le cadre d’une nouvelle approche d’extorsion l’été dernier, le gang de ransomwares a utilisé un site Web dédié et clair pour divulguer les données volées d’une victime spécifique, fournissant ainsi aux clients et aux employés de la victime les moyens de déterminer si leurs données avaient été exposées.

Plus récemment, BlackCat a introduit en juillet une API de fuite de données conçue pour rationaliser la diffusion des données volées.

Cette semaine, l’un des affiliés du gang (sous le nom de Scattered Spider) a revendiqué l’attaque contre MGM Resorts, affirmant avoir chiffré plus de 100 hyperviseurs ESXi après que la société ait détruit son infrastructure interne et refusé de négocier le paiement d’une rançon.

En avril dernier, le FBI avait émis un avertissement soulignant que le groupe était à l’origine des piratages réussis de plus de 60 entités dans le monde entre novembre 2021 et mars 2022.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *