Le groupe de rançongiciels BlackCat, également connu sous le nom d'ALPHV, prétend avoir violé les systèmes de Namco Bandai, l'éditeur japonais de jeux vidéo à l'origine de titres AAA comme Elden Ring et Dark Souls.
La nouvelle a également été rapportée pour la première fois par Vx-underground et plus tard par deux groupes de surveillance des logiciels malveillants (ouvre dans un nouvel onglet). BlackCat est l'une des souches de rançongiciels les plus populaires au monde et a même attiré l'attention du Federal Breau of Investigation (FBI).
Cependant, Namco Bandai garde actuellement le silence sur la question, ce qui rend difficile la confirmation de l'authenticité de ces affirmations.
Dans le collimateur du FBI
En avril 2022, le FBI a émis un avertissement selon lequel la souche « virulente du nouveau ransomware » de BlackCat avait infecté au moins 60 organisations différentes en deux mois. À l'époque, le FBI décrivait BlackCat comme un « ransomware as a service » et affirmait que son malware était écrit en Rust.
Alors que la plupart des souches de ransomwares sont écrites en C ou C++, le FBI affirme que Rust est un « langage de programmation plus sécurisé qui offre des performances améliorées et un traitement simultané fiable ».
BlackCat exige généralement un paiement en Bitcoin et Monero en échange de la clé de déchiffrement, et bien que les demandes se chiffrent généralement « par millions », il a souvent accepté des paiements inférieurs à la demande initiale, selon le FBI.
Le groupe a apparemment des liens étroits avec Darkside et dispose de « réseaux étendus et d'une expérience » dans l'exploitation des attaques de logiciels malveillants et de ransomwares (s'ouvre dans un nouvel onglet).
Après avoir obtenu l'accès initial aux terminaux cibles, le groupe procédera à la compromission des comptes d'utilisateur et d'administrateur Active Directory et utilisera le planificateur de tâches Windows pour configurer des objets de stratégie de groupe (GPO) malveillants afin de déployer le ransomware. .
Le déploiement initial utilise des scripts PowerShell, ainsi que Cobalt Strike, et désactive les fonctions de sécurité au sein du réseau de la victime.
Après avoir téléchargé et verrouillé autant de données que possible, le groupe cherchera à déployer des rançongiciels sur des hôtes supplémentaires.
Le FBI recommande d'analyser les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires actifs à la recherche de comptes d'utilisateurs nouveaux ou non reconnus ; effectuez des sauvegardes de données régulières, analysez le planificateur de tâches à la recherche de tâches planifiées non reconnues et exigez des informations d'identification d'administrateur pour tout processus d'installation de logiciel, comme les mesures d'atténuation.
BlackCat a également récemment rejoint le réseau décentralisé d'acteurs malveillants de Conti et a réussi à violer les serveurs Microsoft Exchange, à plusieurs reprises, pour déployer un rançongiciel.
Via : PCGamer (s'ouvre dans un nouvel onglet)