Après une série d'attaques récentes, le célèbre rançongiciel BlackCat pourrait devenir beaucoup plus méchant, selon de nouvelles recherches.
Un rapport de Sophos a déclaré que les acteurs de la menace derrière le ransomware semblent maintenant avoir ajouté l'outil Brute Ratel à leur arsenal, rendant l'outil encore plus dangereux.
Brute Ratel est un outil de simulation d'attaque et de test de pénétration, similaire mais moins connu que, par exemple, Cobalt Strike.
Cibler les systèmes obsolètes
"Ce que nous avons vu récemment avec BlackCat et d'autres attaques, c'est que les acteurs de la menace sont très efficaces et efficients dans leur travail. Ils utilisent des méthodes éprouvées, comme attaquer les pare-feu et les VPN vulnérables, car ils savent qu'ils fonctionnent toujours, mais ils innovent pour contourner les défenses telles que le passage au nouveau framework post-exploit C2 Brute Ratel dans leurs attaques », a déclaré (ouvre dans un nouvel onglet) Christopher Budd, directeur principal de la recherche sur les menaces chez Sophos.
Brute Ratel n'est pas le seul outil utilisé, car l'analyse des incidents précédents a montré que BlackCat utilise d'autres outils open source et disponibles dans le commerce pour créer des portes dérobées supplémentaires et exploiter d'autres alternatives d'accès à distance, telles que TeamViewer ou nGrok. De toute évidence, Cobalt Strike a également été utilisé.
Les opérateurs BlackCat se tournent généralement vers les pare-feu obsolètes (s'ouvre dans un nouvel onglet) et les services VPN non corrigés comme point d'entrée initial. Depuis décembre 2021, ils ont réussi à infiltrer avec succès au moins quatre organisations, profitant des vulnérabilités du pare-feu.
Une fois qu'ils auront accès au réseau, ils utiliseront les pare-feu pour extraire les informations d'identification et se déplacer librement latéralement dans le système.
BlackCat ne semble favoriser aucune victime en particulier, car la menace cible des entreprises aux États-Unis, en Europe et en Asie.
La seule condition préalable à une attaque est que l'entreprise opère sur des systèmes qui ont atteint la fin de leur durée de vie utile, ne disposent pas d'authentification multifacteur ou de VPN, et utilisent des réseaux plats (où chaque terminal a une visibilité sur tous les autres terminaux du réseau).
« Le dénominateur commun de toutes ces attaques est qu'elles étaient faciles à mener. Dans un cas, les mêmes attaquants BlackCat ont installé des cryptomineurs un mois avant de publier le ransomware. Cette dernière recherche souligne à quel point il est important de suivre les meilleures pratiques de sécurité établies ; ils ont encore beaucoup de pouvoir pour prévenir et contrecarrer les attaques, y compris les attaques multiples contre un seul réseau. »