Détecter les Attaques de Ransomware BlackByte
Table des matières :
Un autre jour — un autre défi majeur pour les praticiens de la sécurité. Découvrez BlackByte, un nouveau groupe de ransomware-as-a-service (RaaS) qui se forge un chemin vers le sommet de la liste des menaces. Les premiers incidents attribués au collectif BlackByte ont été détectés en juillet 2021, et depuis lors, les adversaires ont considérablement fait évoluer leurs tactiques et outils. Actuellement, les chercheurs en sécurité observent BlackByte exploitant les fameuses vulnérabilités ProxyShell pour pénétrer les réseaux d’entreprise et chiffrer les actifs critiques.
Qu’est-ce que le ransomware BlackByte ?
Initialement, BlackByte est apparu à la mi-été 2021, effectuant des attaques de faible intensité contre des utilisateurs occasionnels. L’intérêt accru pour cette nouvelle variante a culminé en octobre 2021 après que les opérateurs du ransomware ont compromis la coopérative de grains de l’Iowa. Depuis lors, les chercheurs en sécurité ont suivi de multiples attaques contre les industries manufacturière, minière, agroalimentaire, de la santé et de la construction aux États-Unis, en Europe et en Australie.
Le groupe de ransomware BlackByte est supposé être d’origine russe car les adversaires évitent de cibler les entreprises basées en Russie ou dans les pays de la CEI. De plus, l’une des fonctions de chiffrement de fichiers pour BlackByte est nommée “Pognali”, qui se traduit par “allons-y” en russe.
Selon la recherche de Trustwave, les premiers échantillons de BlackByte n’étaient pas vraiment complexes. Le ransomware utilisait la même clé pour chiffrer les fichiers en AES au lieu d’utiliser des clés uniques pour chaque session de chiffrement. De plus, comme le chiffrement symétrique AES était utilisé par les pirates, la même clé convenait aux processus de chiffrement et de déchiffrement. En cas d’impossibilité de télécharger la clé depuis le serveur des attaquants, la routine du ransomware se plantait tout simplement.
En raison d’une approche aussi simpliste, les chercheurs en sécurité de Trustwave ont publié un décrypteur pour le ransomware BlackByte en octobre 2021. Cependant, les opérateurs du malware ont mis à jour leurs tactiques depuis lors, ne laissant aucune option aux victimes pour décrypter leurs fichiers gratuitement. De plus, selon les dernières observations, les attaques de ransomware BlackMatter deviennent plus sophistiquées, avec des efforts notables mis en œuvre pour échapper à la détection, à l’analyse et au déchiffrement.
Vulnérabilités ProxyShell exploitées pour déployer BlackByte
Cette semaine, les experts de Red Canary ont partagé un rapport révélant que les opérateurs de BlackByte utilisent activement les exploits ProxyShell pour pénétrer les réseaux ciblés.
ProxyShell est un titre unique pour un trio de failles distinctes (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) qui, si combinées, permettent aux pirates d’atteindre le niveau administrateur et d’exécuter du code à distance sur des serveurs Microsoft Exchange vulnérables.
Selon Red Canary, les mainteneurs de BlackByte utilisent les failles ProxyShell pour déposer des web shells sur les serveurs Exchange exposés. En cas d’installation réussie, les acteurs de la menace obtiennent une persistance sur les instances ciblées et injectent des balises Cobalt Strike dans le processus de l’Agent de Mise à Jour Windows. De cette façon, les attaquants sont capables de vider les informations d’identification et d’accéder aux comptes. Par la suite, les pirates déposent l’outil AnyDesk pour l’accès à distance et procèdent à un mouvement latéral à travers le réseau.
Lors de l’étape suivante, l’exécutable BlackByte entre en action, exerçant ses capacités de ver pour infecter tous les actifs disponibles. Avant de lancer le processus de chiffrement, le malware supprime la tâche planifiée “Raccine Rules Updater” et efface les copies d’ombre via les objets WMI. Finalement, BlackByte extrait des données sensibles avec WinRAR pour les utiliser dans la double extorsion.
Détection de ransomware BlackByte
Pour aider les professionnels de la sécurité à détecter les infections BlackByte et à résister avec succès aux attaques, le référentiel du Threat Detection Marketplace de la plateforme SOC Prime propose un ensemble de contenu de détection sélectionné :
Installation du package Remote Server Admin Tools par le ransomware BlackByte
Suppression de la tâche planifiée de Raccine par le ransomware BlackByte
Utilisation de Vssadmin par le ransomware BlackByte pour redimensionner Shadowstorage
Exploitation de ProxyShell mène au ransomware BlackByte via Process_Creation
Tentative d’installation du package Remote Server Admin Tools (via powershell)
Le Ransomware BlackByte interroge Active Directory pour les noms d’ordinateur
La liste complète des règles Sigma pour la détection du ransomware BlackByte est disponible via ce lien.
De plus, vous pouvez consulter the les directives dedéfense contre les attaques par ransomware en 2021 fournies par Vlad Garaschenko, CISO chez SOC Prime. Ces directives couvrent les meilleures pratiques pour la défense contre les ransomwares et offrent les dernières détections contre les attaques de ransomwares pour aider les MSP et organisations leaders dans divers secteurs à résister de manière proactive à des intrusions spécifiques à leur industrie.
De plus, pour vous assurer que vos systèmes sont protégés contre d’éventuelles intrusions BlackByte, vérifiez si vous avez mis en œuvre les correctifs pour les vulnérabilités ProxyShell. Pour détecter une éventuelle activité malveillante associée à ces failles, téléchargez un ensemble de règles Sigma disponibles via le lien suivant.
Explorez la première plateforme mondiale pour la cyberdéfense collaborative, la chasse aux menaces et la découverte pour renforcer les capacités de détection des menaces et défendre contre les attaques plus facilement, plus rapidement et plus efficacement. Envie de créer vos propres règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre Programme de Bounty de Menaces pour obtenir des récompenses récurrentes pour votre précieuse contribution !
