Les cybergangs derrière les ransomwares BlackMatter et REvil ont été mis à terre par des actions de police et de justice coordonnées au niveau international. Cela ne signifie pas pour autant que les opérations criminelles oeuvrant par le biais de rançongiciels vont stopper. Car malheureusement, d'autres ransomwares pris en main par d'autres opérateurs malveillants prennent la relève, la nature ayant comme toujours horreur du vide. Pour le combler, BlackCat semble en effet bien placé pour prendre la relève. Très bien même, au point de pouvoir être considéré comme le ransomware le plus sophistiqué de l'année doté de capacités de personnalisation étendues. « J'ai analysé un autre échantillon il n'y a pas si longtemps, mais je n'ai pas pu en parler en raison de la confidentialité du client... il utilise AES128-CTR et RSA-2048, Filemarker 19 47 B7 4D à EOF, une clé cryptée, JSON avec certains paramètres. Ransomware très sophistiqué », a prévenu Michael Gillespie, consultant en cybersécurité à l'origine du service ID Ransomware.
BlackCat est écrit en Rust, un langage de programmation jusqu'alors peu utilisé pour concevoir des logiciels ou code malveillant. Mais dont l'usage monte en puissance en raison de sa grande fiabilité et sécurité. « Rust est un langage multiparadigmes dont un des objectifs principaux est de concilier une ergonomie de haut-niveau avec une gestion fine de la mémoire », explique à son sujet l'Anssi qui a publié un guide pour développer des applications sécurisées en Rust.
Des victimes et des rançons atteignant 3 millions de dollars
Si évolué qu'il soit, BlackCat use cependant de ficelles classiques empruntées à ses illustres prédécesseurs : à savoir s'attaquer à ses victimes en volant leurs données, puis en les chiffrant avant de menacer de les publier en cas de non paiement d'une rançon. Un scénario aussi classique et rodé que malheureusement bien souvent efficace. En complément, il menace ses proies d'éventuelles attaques par déni de service pour perturber leur activité. Les premières traces de BlackCat remontent au 21 novembre 2021, identifié par l'équipe de chercheurs en sécurité MalwareHunterTeam. Des victimes dans plusieurs pays depuis mi novembre ont été recensées, débouchant sur des rançons comprises entre 400 000$ et 3 millions de dollars. Il est actuellement poussé sur des sites de forums russes en tant que ransomware as a service sous le nom « ALPHV ». Pour rappel, ce business model malveillant consiste pour les développeurs à recruter des affiliés qui vont exploiter leur code en assurant notamment du support et des services de personnalisation en touchant une commission sur le montant des rançons versées à ses « clients ».
BlackCat peut être configuré selon 4 moyens de chiffrement différents (total, rapide, DotPattern et automatique). « En mode automatique, le logiciel détecte la présence du support matériel AES (existe dans tous les processeurs modernes) et l'utilise. S'il n'y a pas de support AES, le logiciel crypte les fichiers ChaCha20 », indique l'opérateur malveillant sur un forum du dark net rapporté par Bleeping Computer. Il est entièrement piloté par ligne de commande, et hautement configurable, avec la possibilité d'utiliser différentes routines de chiffrement et une fonction de propagation entre systèmes, d'arrêter des machines virtuelles et les VM ESXi, et d'effacer automatiquement les snapshots ESXi pour empêcher toute restauration. « Chaque exécutable du ransomware ALPHV comprend une configuration JSON qui permet la personnalisation des extensions, les notes de rançon, la façon dont les données seront cryptées, les dossiers/fichiers/extensions exclus et les services et processus à terminer automatiquement », fait savoir Bleeping Computer.
Une protection par token des échanges avec les cybercriminels
Par ailleurs, afin d'éviter que l'échange de tractation de rançon entre des cybercriminels et leur victime ne puisse être hacké, une commande d'accès par token est mise en place. « Ce jeton d'accès est utilisé pour créer la clé d'accès nécessaire pour entrer dans un chat de négociation sur le site de paiement Tor du gang de ransomware. Comme ce jeton n'est pas inclus dans l'échantillon de malware, même s'il est téléchargé sur un site d'analyse de malware, les chercheurs ne l'utiliseront pas pour accéder à un site de négociation sans la demande de rançon de l'attaque réelle », explique Bleeping Computer.
Dans un test de sample de BlackCat, notre confrère a pu constater que ce ransomware arrête les processus et services Windows qui pourraient éviter le chiffrement des fichiers et aussi les processus liés aux logiciels de sauvegardes comme Veeam, serveurs de bases de données, Microsoft Exchange, Office, messagerie... Les copies de volume fantôme sont aussi effacées, le scanning de ports réseau et de connexion à d'autres environnements Windows sont activées. Parmi les versions des systèmes et applications sur lesquelles BlackCat est fonctionnel on trouve les PC sous Windows 7 à 11 mais aussi Server 2008r2 à 2022, VMware ESXi (5.5, 6.5 et 7.0.2u), les systèmes NAS de Netgear (ReadyNAS et Synology). Et aussi les distributions Linux Debian (7, 8 et 9) et Ubuntu (18.04 et 20.04). Cette liste n'est pas exhaustive.
Et donc on fait comment pour se protéger si on a déjà tout patché, verrouillé ?
Signaler un abus