Détection du Ransomware BlackCat : Mauvaise Chance Écrite en Rust
Table des matières :
Les adversaires recherchent de nouveaux moyens d’intensifier les attaques, cette fois en introduisant un nouveau ransomware écrit en Rust pour cibler les organisations aux États-Unis, en Europe, en Australie, en Inde et aux Philippines. Les développeurs du ransomware ALPHV BlackCat visent les systèmes d’exploitation Windows et Linux via un framework/ensemble d’outils tiers (par exemple, Cobalt Strike) ou en exploitant des applications vulnérables.
Le gang BlackCat recrute désormais activement des hackers sur des forums comme RAMP, XSS et Exploit, en les attirant avec une part impressionnante des paiements de rançons.
Procédure d’attaque du ransomware BlackCat
Selon l’analyse approfondie de Palo Alto, ce ransomware se distingue par son adaptabilité, permettant aux attaquants de l’adapter à chaque cible pour augmenter les dégâts. Les acteurs de la menace BlackCat utilisent diverses tactiques et routines de chiffrement. Le ransomware peut être configuré pour utiliser quatre modes de chiffrement différents:
- Chiffrement complet du fichier
- Rapide (seuls les premiers N mégaoctets sont chiffrés)
- DotPattern (N mégaoctets sont chiffrés via M étapes)
- Auto (traitement des fichiers sur le casier)
Les données actuelles indiquent que les acteurs de la menace utilisant BlackCat emploient plusieurs techniques d’extorsion, volent les données des victimes dans des schémas de double et triple extorsion, menacent de divulguer des informations sensibles, et lancent des attaques par déni de service distribué (DDoS).
Le ransomware terminera les processus et services pouvant potentiellement empêcher le chiffrement dans son processus de configuration. Par conséquent, il mettra fin au fonctionnement des machines virtuelles et des VM ESXi, et supprimera les snapshots ESXi pour entraver ou empêcher la récupération. BlackCat utilise une extension de nom aléatoire sur chaque appareil chiffré, ajoutée à tous les fichiers et incluse dans la note de rançon. Il incite les utilisateurs infectés à se connecter au portail de paiement des attaquants via TOR, avec des demandes de rançon en Bitcoin ou Monero.
Attaques signalées similaires à BlackCat
Nous constatons une tendance croissante des hackers à élargir leur répertoire de langues utilisées pour créer des malwares. Il y a un nombre croissant de cas utilisant des malwares écrits en Dlang, Go, Nim et Rust, pour trouver de nouvelles voies contournant les protections de sécurité, éviter l’analyse, et augmenter les chances de succès de l’évasion. Qualifié de « nouvelle génération de ransomware », BlackCat présente des éléments comportementaux similaires à ceux d’un successeur de DarkSide, ransomware BlackMatter . Malgré de nombreuses similitudes, le ransomware ALPHV BlackCat inclut des fonctionnalités innovantes qui le distinguent des programmes RaaS visant les violations d’entreprise. Les opérateurs de BlackCat ont appris des erreurs de leurs prédécesseurs RaaS, en employant de nouveaux vecteurs d’infection, de nouvelles options d’exécution, et des campagnes de dénomination et de honte particulièrement agressives.
Mitigation de BlackCat
ALPHV est apparu pour la première fois à la mi-novembre 2021 et a activement recherché des victimes dans tous les secteurs. Malheureusement, avec un certain succès. Selon les rapports, les victimes sont invitées à payer jusqu’à 14 millions de dollars pour récupérer leurs fichiers.
Pour protéger l’infrastructure de votre entreprise contre d’éventuelles attaques de BlackCat, vous pouvez télécharger un ensemble de règles Sigma gratuites développées par nos développeurs expérimentés de Threat Bounty Emir Erdogan and Kaan Yeniyol, qui ne manquent jamais aucun détail.
Détection du ransomware BlackCat (via cmdline)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les tactiques de Commande et Contrôle, Exécution, Impact, et Exfiltration avec Application Layer Protocol (T1071), Command and Scripting Interpreter (T1059), Data Encrypted for Impact (T1486), et Data Transfer Size Limits (T1030) comme techniques principales.
Exécution et reconnaissance du ransomware BlackCat UUID
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les tactiques d’Exécution, Évasion de Défense, et Découverte avec Command and Scripting Interpreter (T1059), Indirect Command Execution (T1202), et System Service Discovery (T1007) comme techniques principales.
La liste complète des détections dans le dépôt du Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer la source de journalisation et la couverture MITRE ATT&CK, et défendre contre les attaques de manière plus facile, rapide et efficace. Les adeptes de la cybersécurité sont plus que bienvenus à rejoindre le programme Threat Bounty pour partager des règles Sigma sélectionnées avec la communauté et obtenir des récompenses récurrentes.
