Détection du Ransomware BlackSuit : Ignoble Scorpius Intensifie les Attaques, Vise Plus de 90 Organisations dans le Monde
Table des matières :
Émergent l’année dernière comme successeur du ransomware Royal, BlackSuit a rapidement évolué en une dérivée malveillante hautement sophistiquée, ciblant agressivement des organisations dans le monde entier. Les chercheurs en sécurité ont récemment observé une augmentation significative de l’activité du groupe Ignoble Scorpius, l’opérateur derrière BlackSuit, avec plus de 90 organisations victimes de leurs intrusions incessantes.
Détecter le ransomware BlackSuit
Le ransomware BlackSuit gagne en ampleur en 2024, ciblant activement plusieurs organisations avec un intérêt marqué pour les secteurs de la construction, de la fabrication et de l’éducation. Pour rester en tête des attaques potentielles, les chercheurs en sécurité peuvent compter sur la plateforme SOC Prime pour une défense cybernétique collective offrant un ensemble de règles Sigma pertinentes soutenues par une suite de produits complète pour la détection et la chasse avancées de menaces.
Pour accéder à un ensemble de détection ciblant les activités malveillantes liées au ransomware BlackSuit, cliquez sur le Explorer les Détections bouton ci-dessous ou recherchez des détections directement dans le Threat Detection Marketplace en utilisant le tag « BlackSuit Ransomware ».
De plus, les cyber défenseurs peuvent plonger dans les TTP d’Ignoble Scorpius en explorant un ensemble de détection accessible par le tag «Ignoble Scorpius» dans la plateforme SOC Prime.
Toutes les règles de détection sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées sur le cadre MITRE ATT&CK. De plus, les algorithmes de détection sont enrichis par des métadonnées détaillées, y compris CTI des références, des chronologies d’attaque et des recommandations de triage, simplifiant l’enquête sur les menaces.
Analyse du Ransomware BlackSuit
Les chercheurs de Unit 42 ont récemment découvert une augmentation de l’activité du ransomware BlackSuit depuis le début du printemps 2024, indiquant une poussée des campagnes offensives. La souche notoire, qui est un rebranding du ransomware Royal posant une menace significative aux défenseurs cyber depuis 2023, est attribuée au groupe suivi sous le nom d’Ignoble Scorpius. Suite au rebranding, plus de 93 victimes ont été identifiées mondialement, avec environ 25 % concentrées dans les secteurs de la construction et de la fabrication, principalement aux États-Unis.
Comme son prédécesseur, BlackSuit exploite également un site de fuite sur le dark web où il publie les noms et les données volées de ses victimes pour les inciter à payer une rançon. Notamment, les demandes initiales de rançon du groupe s’élèvent généralement à environ 1,6 % du revenu annuel de l’organisation victime. Avec un revenu médian des victimes d’environ 19,5 millions de dollars à travers les industries, ces demandes de rançon représentent un fardeau financier considérable pour les organisations concernées.
En août 2024, le FBI et la CISA ont publié une alerte avertissant les défenseurs de la montée du ransomware BlackSuit et de sa menace croissante pour les organisations mondiales. Le conseil conjoint en cybersécurité a souligné l’augmentation des demandes de rançon du groupe dépassant 500 millions de dollars.
Ignoble Scorpius emploie une gamme de tactiques pour obtenir un accès initial, utilisant souvent des Initial Access Brokers (IAB) qui fournissent des identifiants volés ou d’autres accès réseau non autorisés. Les chercheurs ont identifié plusieurs méthodes utilisées par le groupe, y compris des emails de phishing avec pièces jointes malveillantes, empoisonnement SEO via GootLoader, ingénierie sociale ou vishing pour acquérir des identifiants VPN volés, et des compromis de chaîne d’approvisionnement logicielle. Pour la collecte des identifiants, Ignoble Scorpius s’appuie souvent sur des outils comme Mimikatz et NanoDump pour obtenir un accès réseau supplémentaire.
Après avoir obtenu un accès privilégié, comme les droits d’administration de domaine, les mainteneurs de BlackSuit récupèrent le fichier NTDS.dit en utilisant ntdsutil pour compromettre le contrôleur de domaine. Pour le déplacement latéral, le groupe utilise RDP, SMB et PsExec. Ils exploitent également des pilotes et des chargeurs vulnérables, identifiés comme STONESTOP et POORTRY, pour désactiver les outils antivirus et EDR et faciliter l’évasion de la détection.
La charge utile principale du groupe est le ransomware BlackSuit, qui cible à la fois les instances Windows et Linux, y compris les serveurs VMware ESXi. Des outils supplémentaires comme Cobalt Strike et SystemBC sont utilisés pour la persistance et l’exécution des commandes, bien qu’il soit incertain s’ils ont été déployés par Ignoble Scorpius ou un IAB.
La variante BlackSuit basée sur Windows utilise un argument de ligne de commande, -id, ainsi qu’un identifiant unique de 32 caractères pour cibler les victimes et fournir l’accès à un chat de négociation privé via la note de rançon. Pour éviter la réinfection, le malware utilise un mutex et emploie des outils comme PsExec et WMIC pour distribuer et exécuter le ransomware à travers des centaines d’hôtes via SMB. De plus, les chercheurs ont noté l’utilisation de VirtualBox pour créer une machine virtuelle pour la livraison de la charge utile. Pour assurer un chiffrement maximal, BlackSuit termine les processus et services connus en utilisant le Windows Restart Manager pour fermer les fichiers ouverts, tout en évitant les processus critiques comme Windows Explorer. La variante ESXi, qui est basée sur Linux, cible spécifiquement les machines virtuelles et introduit deux indicateurs de ligne de commande supplémentaires par rapport à son homologue Windows.
Bien qu’il ne figure pas encore parmi les principales bandes de rançongiciels, Ignoble Scorpius se démarque par la conduite d’attaques sophistiquées sur la chaîne d’approvisionnement, ayant compromis au moins 93 organisations sans modèle RaaS, ce qui nécessite une ultra-réactivité de la part des défenseurs pour aider les organisations à minimiser les risques d’attaques par rançongiciels. En exploitant la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée de menaces et la détection avancée de menaces, les organisations progressistes peuvent contrecarrer proactivement les attaques par rançongiciel et toute nouvelle menace de sophistication accrue pour optimiser le risque de leur posture de cybersécurité.