Détecter les Attaques de Ransomware ALPHA SPIDER : TTP Exploitées par les Opérateurs ALPHV alias BlackCat RaaS
Table des matières :
Le ransomware reste une menace majeure pour les organisations du monde entier, avec une augmentation constante du volume et de la sophistication des attaques. Parmi les acteurs clés dans le domaine du ransomware, le groupe ALPHA SPIDER se distingue en revendiquant une série d’attaques récentes de haut niveau visant le processeur de logiciels de paiement du secteur de la santé américain Change et le géant de l’industrie du jeu MGM. En vue de ALPHA SPIDER, qui représente une menace significative en raison de sa présence massive dans le domaine cybernétique, le Département américain de la Justice a annoncé une opération internationale de répression visant à saisir les opérations d’ALPHV (alias BlackCat) qui a été suivie par un avis CISA détaillé dans le cadre de l’initiative #StopRansomware.
Détecter les attaques de ransomware ALPHA SIDER (alias ALPHV, BlackCat)
Apparu au début des années 2020, ALPHA SPIDER s’est rapidement auto-déclaré comme un nouveau leader du ransomware en tant que service (RaaS), attirant beaucoup d’attention en raison de multiples cibles de haut niveau, de capacités malveillantes sophistiquées et d’une offre généreuse pour les affiliés.
Pour rester en avance sur les potentielles attaques d’ALPHV, les cyber défenseurs nécessitent des outils avancés de détection et de chasse aux menaces enrichis avec des algorithmes de détection soigneusement élaborés adressant les TTP des adversaires. La plateforme SOC Prime agrège un ensemble de règles Sigma pertinentes compatibles avec 28 technologies SIEM, EDR, XDR et de Data Lake pour identifier l’activité malveillante associée à ALPHV alias BlackCat.
Il suffit d’appuyer sur le bouton Explorez les Détections ci-dessous et d’accéder immédiatement à la pile de détection étendue pour identifier les TTP liés aux dernières campagnes ALPHA SPIDER. Toutes les règles sont mappées au cadre MITRE ATT&CK v14.1 et enrichies avec des renseignements détaillés sur les menaces.
Pour rationaliser l’enquête sur les menaces et améliorer les opérations SOC, les professionnels de la sécurité peuvent accéder à une collection plus large de règles Sigma abordant l’activité malveillante liée en cherchant sur SOC Prime par les tags «ALPHV» et «BlackCat».
Analyse des Attaques de Ransomware Alphv/BlackCat
Les opérateurs de ransomware ALPHV (BlackCat, ALPHA SPIDER) sont sous les feux de la rampe dans le domaine des menaces cybernétiques depuis la fin de l’automne 2021, ciblant une large gamme de secteurs industriels et enrichissant continuellement leur outil d’adversaire. BlackCat est considéré comme la prochaine génération des organisations de ransomware DarkSide or BlackMatter , indiquant un niveau sophistiqué d’expertise et de compétences de ses affiliés. Au cours de l’année dernière, les hackers d’ALPHV ont été observés employant un nouvel ensemble de techniques adversaires et de méthodes innovantes comme composants de leurs activités de ransomware.
Le RaaS ALPHV se distingue par être écrit en langage de programmation Rust et offre une gamme de capacités visant à séduire des affiliés avancés. Ces dernières comprennent des variantes de ransomware qui ciblent plusieurs systèmes d’exploitation, une variante hautement personnalisable pour l’évasion de détection, une base de données consultable hébergée sur un domaine du web clair, un site de fuite dédié, et l’intégration d’un mixeur Bitcoin dans les panneaux d’affiliés. Selon les dernières recherches de CrowdStrike, les opérateurs d’Alphv ont utilisé des versions Linux de Cobalt Strike et SystemBC pour mener des opérations de reconnaissance sur les serveurs VMware ESXi avant de procéder au déploiement du ransomware.
ALPHV/BlackCat est une organisation de ransomware très prolifique qui a revendiqué plusieurs attaques de haut niveau, telles que celles contre le géant du jeu MGM Resorts et le fournisseur de logiciels de paiement pour la santé Change Healthcare. La dernière attaque menée le mois dernier a entraîné des perturbations majeures de service pour les organisations de santé telles que les pharmacies.
Au stade initial de l’attaque, les affiliés d’ALPHV exploitent certaines vulnérabilités identifiées sous les références CVE-2021-44529 et CVE-2021-40347 pour accéder initialement et maintenir la persistance dans le réseau ciblé. Par la suite, les adversaires utilisent Nmap, l’outil de scan de réseau néfaste, pour effectuer des opérations de découverte de réseau, accompagnées de scripts Nmap spécifiques pour mener un scan de vulnérabilité ciblé. Ils ont également été observés tentant d’exploiter une autre vulnérabilité RCE suivie grâce à la référence CVE-2021-21972 et s’engager dans des activités de reconnaissance de réseau supplémentaires. De plus, ALPHV a détourné l’outil de sauvegarde Veeam après leur mouvement latéral initial et a profité du script PowerShell de récupération des identifiants Veeam pour voler des identifiants d’utilisateur directement depuis la base de données Veeam.
Avec le volume croissant des attaques de ransomware visant le secteur de la santé, le bureau des droits civils du Département américain de la santé et des services sociaux a récemment publié une lettre traitant de l’incident de cybersécurité affectant Change Healthcare, ainsi que de nombreuses autres entités de santé, qui vise à sensibiliser à la cybersécurité dans ce secteur industriel hautement vulnérable aux attaques de ransomware. Au cours de la dernière moitié de la décennie, il y a eu une augmentation de 264 % des attaques de ransomware signalées à l’OCR, ce qui alimente le besoin de renforcer les capacités de défense proactive au sein des organisations de santé américaines.
Avec un nombre croissant de tendances et des intrusions plus sophistiquées, le ransomware a été le plus grand défi pour la plupart des organisations depuis 2021, y compris les grandes entreprises. En utilisant Attack Detective, trouver des attaques de ransomware et identifier rapidement d’éventuelles intrusions devient plus rapide, plus facile et plus efficace. Fiez-vous au système qui garantit une visibilité complète de votre surface d’attaque et fournit des algorithmes de détection basés sur le comportement ou des IOC adaptés à votre solution de sécurité en utilisation sans déplacer vos données, soutenu par ATT&CK agissant comme un algorithme de corrélation central.