Attaques du Ransomware BlackCat : Les acteurs de la menace utilisent Brute Ratel et les balises Cobalt Strike pour des intrusions avancées

Les chercheurs en cybersécurité ont révélé une vague d’activités nouvelles du célèbre groupe de ransomware BlackCat déployant des binaires de malware personnalisés pour des intrusions plus sophistiquées. Dans les dernières attaques, les acteurs de la menace ont exploité des balises Cobalt Strike et un nouvel outil de test de pénétration surnommé Brute Ratel, installant ce dernier en tant que service Windows sur les machines compromises.

Détecter les attaques de ransomware BlackCat

Pour suivre l’évolution constante du paysage des menaces et résister efficacement aux attaques de plus en plus nombreuses et sophistiquées, les organisations mondiales cherchent des moyens de renforcer leurs capacités de défense cyber. Avec le ransomware restant une tendance croissante dans le paysage des menaces cyber en 2021-2022, les praticiens de la cybersécurité s’efforcent de se protéger contre les menaces associées. La plateforme de détection as-a-code de SOC Prime a récemment publié une nouvelle règle Sigma pour détecter un outil malveillant Brute Ratel déployé dans les dernières opérations de ransomware BlackCat. Inscrivez-vous ou connectez-vous à la plateforme de SOC Prime pour accéder à la détection écrite par notre prolifique développeur Threat Bounty Kyaw Pyiyt Htet (Mik0yan):

Création possible de Named Pipe Brute Ratel dans l’opération de ransomware BlackCat (via Pipe_Event)

Les défenseurs cyber expérimentés et prometteurs avec un flair aigu pour la cybersécurité et des ambitions d’auto-amélioration sont invités à rejoindre notre Programme Threat Bounty pour créer des algorithmes de détection, les partager avec des pairs de l’industrie, gagner en reconnaissance et obtenir des récompenses financières pour leurs contributions.

La règle Sigma ci-dessus peut être appliquée à 18 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime. Pour garantir une visibilité accrue sur les menaces associées, la détection est alignée avec le cadre MITRE ATT&CK® abordant la technique d’injection de processus (T1055) du répertoire de tactiques d’évasion de la défense. Les praticiens de la cybersécurité peuvent également instantanément chasser les menaces associées aux opérations de ransomware BlackCat en utilisant la règle Sigma mentionnée ci-dessus via le module Quick Hunt de SOC Prime. 

La plateforme de SOC Prime supervise l’ensemble de la liste des algorithmes de détection pour aider les organisations à identifier en temps voulu l’activité de ransomware BlackCat dans leur environnement. Pour accéder à la boîte à outils dédiée, cliquez sur le bouton Detect & Hunt. Alternativement, les chasseurs de menaces, les spécialistes de l’intelligence des menaces cyber et d’autres défenseurs cyber peuvent explorer instantanément le contexte de menace global lié aux opérations de ransomware BlackCat même sans inscription. Cliquez sur le bouton Explore Threat Contextpour accéder à des informations contextuelles approfondies, y compris des références MITRE ATT&CK, des liens CTI et des binaires exécutables Windows liés aux règles Sigma qui accompagnent votre recherche de menaces associées.

bouton Detect & Hunt. Explorer le contexte de la menace

Analyse de BlackCat : les dernières mises à jour

Après être apparu pour la première fois en novembre 2021, BlackCat (alias Alphv) s’est rapidement auto-proclamé nouveau leader du ransomware-as-a-service (RaaS), attirant beaucoup d’attention en raison de son langage de programmation Rust inhabituel, de ses capacités malveillantes sophistiquées et de son offre généreuse permettant aux affiliés de conserver 90% des paiements de rançons. Les chercheurs en sécurité pensent que BlackCat pourrait être le successeur des groupes de ransomware DarkSide or BlackMatter ce qui suggère un ensemble de compétences complexes de ses opérateurs.

La dernière enquête menée par Sophos révèle que les mainteneurs de BlackCat continuent d’améliorer la souche de malware avec de nouvelles astuces. Les acteurs de la menace s’appuient typiquement sur des pare-feu ou des services VPN non mis à jour ou obsolètes pour obtenir un point d’entrée initial sur les réseaux exposés ou saisir des identifiants VPN pour se connecter comme des utilisateurs autorisés.

Après l’infection, divers outils open source et commercialement disponibles sont utilisés pour augmenter les capacités d’accès à distance de BlackCat. En particulier, l’analyse des dernières intrusions montre que les acteurs de la menace ont utilisé TeamViewer, nGrok, Cobalt Strike et Brute Ratel pour assurer des voies d’accès alternatives. Selon Sophos, la suite de tests de pénétration Brute Ratel avec des fonctionnalités similaires à Cobalt Strike est la dernière acquisition pour améliorer les capacités post-exploitation tout en restant sous le radar.

Tout en contribuant à la notoriété de BlackCat, les opérateurs de ransomware deviennent plus audacieux en émettant des demandes de rançon plus élevées envers leurs victimes. Le gang vise généralement des cibles de haut profil, y compris OilTanking GmbH, Swissport, Florida International University, et l’Université de Caroline du Nord A&T. Les demandes de rançon ont augmenté au fil du temps, atteignant maintenant $2,5M, avec une possible remise de 50% en cas de paiement rapide.

Avec un nombre croissant de tendances et d’intrusions plus sophistiquées, le ransomware est considéré comme le principal défi pour la plupart des organisations en 2021, y compris les grandes entreprises. Inscrivez-vous à la plateforme de détection as-a-code de SOC Prime et accédez à la collection de plus de 200 000 algorithmes de détection pour identifier et se défendre de manière proactive contre les menaces émergentes.