BlackCat (rançongiciel)

BlackCat

Histoire
Fondation	Novembre 2021

Cadre
Type	Hacking

BlackCat aussi connu sous le nom de Noberus^[1] est une famille de rançongiciels écrite en Rust, développée par le groupe cybercriminel ALPHV^[2].

BlackCat apparaît en novembre 2021 et opère suivant un modèle de rançongiciel en tant que service, avec des développeurs proposant leur logiciel a des affiliés en échange d'un pourcentage de la rançon extorquée. Le groupe est également connu pour ses méthodes non conventionnelles et l'utilisation de techniques d'extorsion avancées telles que la triple extorsion. Ses tactiques ont fait de BlackCat une menace cybercriminelle majeure.

Le groupe cible des centaines d'organisation à travers le monde, dont Reddit en 2023. Depuis sa creation, il s'agit de l'un des rançongiciel les plus actifs^[3].

Description[modifier | modifier le code]

Le groupe derriere BlackCat utilise principalement la tactique de la double extorsion, mais a aussi recours à la triple extorsion. Cette dernière consiste à crypter le système d'information de la victime, à exposer les données exfiltrées, à menacer de lancer des attaques par déni de service (DDoS) sur l'infrastructure des victimes^[4].

Les affiliés de BlackCat demandent généralement des paiements de rançon de plusieurs millions de dollars en Bitcoin et Monero et ont déjà accepté des paiements de rançon inférieurs au montant initial de la demande. Selon le FBI, de nombreux développeurs et blanchisseurs d'argent pour BlackCat/ALPHV sont liés à Darkside/Blackmatter, ce qui indique qu'ils disposent de réseaux étendus et d'expérience dans le fonctionnement des rançongiciels^[2].

Le groupe est connu pour être le premier rançongiciel à avoir créé un site web public de fuites de données sur internet. Les cyber-groupes précédents publiaient généralement les données volées sur le dark web. L'innovation de BlackCat a consisté à publier des extraits ou des échantillons des données des victimes sur un site accessible à toute personne disposant d'un navigateur web. Les experts en sécurité pensent que cette tactique vise à donner plus de crédibilité à leurs déclarations de violation des systèmes des victimes et à accroître la pression sur les organisations pour qu'elles paient des rançons afin d'empêcher l'exposition publique complète de leurs données^[5]. Le groupe imite également les sites web de ses victimes pour afficher les données volées sur des répliques typo-squattées^[6].

Pour ses premières campagnes, Royal ransomware utilise l'outil de cryptage « BlackCat »^[7].

Histoire[modifier | modifier le code]

Débuts (2021-2022)[modifier | modifier le code]

BlackCat est observé pour la première fois par des chercheurs de la MalwareHunterTeam à la mi-novembre 2021^[4].

En avril 2022, le Federal Bureau of Investigation (FBI) publie un avis indiquant que plusieurs développeurs et blanchisseurs d'argent pour BlackCat avaient des liens avec deux anciens groupes de rançongiciels en tant que service (RaaS) - DarkSide et BlackMatter^[4]. Selon certains experts, ce ransomware pourrait être une nouvelle marque de DarkSide, après son attaque contre le Colonial Pipeline^[8]. Il pourrait aussi s'agir d'un successeur du groupe cybercriminel REvil^[5].

En janvier 2022, le groupe lance une attaque d'ampleur contre des compagnies pétrolières allemandes. En septembre 2022, BlackCat revendique une attaque contre une agence italienne de l'énergie et a affirmé avoir exfiltré environ 700 gigaoctets (Go) de données de l'agence^[4].

Fin mai 2022, un gouvernement européen est ciblé par BlackCat, qui exige une rançon de 5 millions de dollars américains. Le même mois, un rapport remarque que le ransomware s'appuyait sur le Botnet Emotet^[4].

En décembre 2022, les opérateurs derrière BlackCat annoncent que leur offre RaaS incluait désormais un Log4J Auto Exploiter préemballé^[4].

Variant Sphynx (2023)[modifier | modifier le code]

Au début de l’année 2023, Blackcat attaque Grupo Estrategas EMM, NextGen Healthcare, Solar Industries India, Instituto Federal Do Pará, Munster Technological University, and Lehigh Valley Health Network^[9].

En février 2023, une variante appelée « Sphynx » est publiée avec des mises à jour visant à augmenter la vitesse et la furtivité. En mai 2023, on estime que le groupe a ciblé plus de 350 victimes dans le monde depuis son apparition^[1].

En juin 2023, le groupe revendique une violation des systèmes de Reddit datant de février 2023. Sur leur site de fuite de données, ils ont affirmé avoir volé 80 Go de données compressées et demandé une rançon de 4,5 millions de dollars à Reddit. Cette attaque n'impliquait pas de chiffrement de données comme les campagnes de ransomware habituelles^[10].

En novembre 2023, le groupe de hackers inaugure une nouvelle manière de faire pression sur leur victime. À cette occasion, l'entreprise visée, MeridianLink, une société américaine qui fournit des solutions numériques aux banques et établissements financiers, a fait l'objet d'une plainte auprès de la Securities and Exchange Commission. En effet, selon la législation américaine toute société qui fait l'objet d'une cyberattaque doit en avertir ses clients dans un délai de quatre jours. Or MeridianLink n'a pas rendu publique cette attaque par le groupe BlackCat et l'a cachée à ses clients. Les hackers ont rempli un dépôt de plainte en ligne et ont publié sur le darknet le formulaire rempli ainsi que le récépissé d'envoi afin de faire pression pour obtenir le paiement de la rançon demandée^[11].

En décembre 2023, le FBI annonce avoir fait fermer un site internet lié au groupe. Par ailleurs un outil de déchiffrement a été développé et est proposé aux victimes. Le groupe de hackers, quant à lui, revendique avoir déjà remis en ligne une nouvelle plateforme^[12].

Le retour (2024)[modifier | modifier le code]

Fin février 2024, le groupe revendique l'attaque de Change Healthcare, une filiale de paiement du groupe UnitedHealth. Cette attaque paralyse les pharmacies des États-Unis qui ne peuvent plus délivrer de médicaments (Change Healthcare gère le système des ordonnances). C'est aussi l'occasion pour le groupe d'être recherché activement par le FBI : deux primes ont été débloquées, 10 millions de dollars pour toute information amenant à l'identification d'une personne du groupe et 5 millions de dollars pour toute information amenant à l'arrestation d'un membre du groupe^[13]. Le groupe arrive à récupérer une rançon de 22 millions de dollars et se dissout juste après, prétextant une saisie du FBI ^[14].

Tactiques et techniques[modifier | modifier le code]

Le groupe emploie le malware botnet Emotet comme point d'entrée initial pour sa chaîne d'infection et utilise Log4J Auto Expl pour propager son ransomware latéralement au sein du réseau. BlackCat cible les organisations de divers secteurs, notamment la construction, la vente au détail, la fabrication, la technologie, l'énergie et la finance. Il est également connu pour ses attaques d'entités gouvernementales^[4].

En septembre 2022, des chercheurs sur les menaces ont noté l'utilisation par BlackCat d'une version améliorée de l'outil d'exfiltration de données ExMatter et d'Eamfo, un logiciel malveillant conçu pour voler les informations d'identification stockées par le logiciel de sauvegarde Veeam. Le même mois, un rapport indiquait que BlackCat utilisait le botnet Emotet pour déployer sa charge utile de rançongiciel^[4].

À la fin de l'année 2023, le groupe utilise le malvertising, et notamment Google Ads pour déployer son maliciel^[15].

Références[modifier | modifier le code]

↑ ^{a et b} (en) « Improved BlackCat Ransomware Strikes with Lightning Speed and Stealthy Tactics », sur The Hacker News (consulté le 21 août 2023).
↑ ^{a et b} (en) « FBI Releases IOCs Associated with BlackCat/ALPHV Ransomware », www.cisa.gov, 22 avril 2022 (consulté le 14 juillet 2023)
↑ (en-US) « BlackCat (ALPHV) Ransomware Levels Up for Stealth, Speed and Exfiltration », sur Security Intelligence (consulté le 21 août 2023)
↑ ^{a b c d e f g et h} (en) « Ransomware Spotlight: BlackCat - Security News », sur Trend Micro (consulté le 14 juillet 2023).
↑ ^{a et b} (en) « The Royal & BlackCat Ransomware: What you Need to Know », sur www.tripwire.com (consulté le 21 août 2023)
↑ (en) Cyware Labs, « ALPHV/BlackCat Clones Victim’s Website to Post Stolen Data », sur Cyware Labs (consulté le 21 août 2023)
↑ (en) « Ransomware Spotlight: Royal – Security News », sur Trend Micro (consulté le 11 juillet 2023)
↑ (en) « Breaking Down the BlackCat Ransomware Operation », sur CIS, 7 juillet 2022 (consulté le 21 août 2023)
↑ (en) Cyware Labs, « The Rise of BlackCat Ransomware: A Dark Tale of Cybercrime », sur Cyware Labs (consulté le 21 août 2023)
↑ (en-US) « The Week in Ransomware - June 23rd 2023 - The Reddit Files », sur BleepingComputer (consulté le 21 août 2023)
↑ Bogdan Bodnar, « Des pirates déposent une plainte contre l’une de leurs victimes » , Numérama, 16 novembre 2023 (consulté le 16 novembre 2023)
↑ Bogdan Bodnar, « Les hackers de BlackCat jouent au chat et la souris avec le FBI et Europol » , Numérama, 19 décembre 2023 (consulté le 19 décembre 2023)
↑ Nina Bailly, « Le groupe de hackeurs BlackCat est de retour » , Slate, 3 mars 2024 (consulté le 3 mars 2024)
↑ Gabriel Thierry, « ALPHV/BlackCat : ils raflent une rançon de 22 millions de dollars et ferment subitement boutique » , ZDNet, 8 mars 2024 (consulté le 8 mars 2024)
↑ (en-GB) Alessandro Mascellino, « ALPHV/BlackCat Ransomware Gang Targets Businesses Via Google Ads », sur Infosecurity Magazine, 15 novembre 2023 (consulté le 5 janvier 2024)

Voir aussi[modifier | modifier le code]

[Juin2023_thehackernews.com-1] {a et b} (en) « Improved BlackCat Ransomware Strikes with Lightning Speed and Stealthy Tactics », sur The Hacker News (consulté le 21 août 2023).

[:1-2] {a et b} (en) « FBI Releases IOCs Associated with BlackCat/ALPHV Ransomware », www.cisa.gov, 22 avril 2022 (consulté le 14 juillet 2023)

[3] (en-US) « BlackCat (ALPHV) Ransomware Levels Up for Stealth, Speed and Exfiltration », sur Security Intelligence (consulté le 21 août 2023)

[www.trendmicro.com_blackcat-4] {a b c d e f g et h} (en) « Ransomware Spotlight: BlackCat - Security News », sur Trend Micro (consulté le 14 juillet 2023).

[www.tripwire.com_royal-blackcat-5] {a et b} (en) « The Royal & BlackCat Ransomware: What you Need to Know », sur www.tripwire.com (consulté le 21 août 2023)

[6] (en) Cyware Labs, « ALPHV/BlackCat Clones Victim’s Website to Post Stolen Data », sur Cyware Labs (consulté le 21 août 2023)

[www.trendmicro.com_spotlight-royal-7] (en) « Ransomware Spotlight: Royal – Security News », sur Trend Micro (consulté le 11 juillet 2023)

[8] (en) « Breaking Down the BlackCat Ransomware Operation », sur CIS, 7 juillet 2022 (consulté le 21 août 2023)

[9] (en) Cyware Labs, « The Rise of BlackCat Ransomware: A Dark Tale of Cybercrime », sur Cyware Labs (consulté le 21 août 2023)

[10] (en-US) « The Week in Ransomware - June 23rd 2023 - The Reddit Files », sur BleepingComputer (consulté le 21 août 2023)

[11] Bogdan Bodnar, « Des pirates déposent une plainte contre l’une de leurs victimes » , Numérama, 16 novembre 2023 (consulté le 16 novembre 2023)

[12] Bogdan Bodnar, « Les hackers de BlackCat jouent au chat et la souris avec le FBI et Europol » , Numérama, 19 décembre 2023 (consulté le 19 décembre 2023)

[13] Nina Bailly, « Le groupe de hackeurs BlackCat est de retour » , Slate, 3 mars 2024 (consulté le 3 mars 2024)

[14] Gabriel Thierry, « ALPHV/BlackCat : ils raflent une rançon de 22 millions de dollars et ferment subitement boutique » , ZDNet, 8 mars 2024 (consulté le 8 mars 2024)

[15] (en-GB) Alessandro Mascellino, « ALPHV/BlackCat Ransomware Gang Targets Businesses Via Google Ads », sur Infosecurity Magazine, 15 novembre 2023 (consulté le 5 janvier 2024)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]