La souche de ransomware connue sous le nom de BlackSuit a demandé jusqu’à 500 millions de dollars de rançon à ce jour, avec une demande de rançon individuelle atteignant 60 millions de dollars.
C’est ce qu’indique un avis mis à jour de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et du Federal Bureau of Investigation (FBI).
« Les acteurs de BlackSuit ont montré une volonté de négocier les montants des paiements », ont déclaré les agences dit« Les montants de la rançon ne font pas partie de la note de rançon initiale, mais nécessitent une interaction directe avec l’acteur de la menace via une URL .onion (accessible via le navigateur Tor) fournie après le cryptage. »
Les attaques impliquant des ransomwares ont ciblé plusieurs secteurs d’infrastructures critiques couvrant les installations commerciales, les soins de santé et la santé publique, les installations gouvernementales et la fabrication critique.
Évolution du ransomware Royal, il exploite l’accès initial obtenu via des e-mails de phishing pour désarmer les logiciels antivirus et exfiltrer les données sensibles avant de déployer finalement le ransomware et de crypter les systèmes.
D’autres voies d’infection courantes incluent l’utilisation du protocole RDP (Remote Desktop Protocol), l’exploitation d’applications Internet vulnérables et l’accès acheté via des courtiers d’accès initiaux (IAB).
Les acteurs de BlackSuit sont connus pour utiliser des logiciels et des outils légitimes de surveillance et de gestion à distance (RMM) tels que les logiciels malveillants SystemBC et GootLoader pour maintenir la persistance dans les réseaux des victimes.
« Des acteurs de BlackSuit ont été observés en train d’utiliser SharpShares et SoftPerfect NetWorx pour recenser les réseaux des victimes », ont noté les agences. « L’outil de vol d’identifiants Mimikatz, disponible au public, et les outils de collecte de mots de passe de Nirsoft ont également été trouvés sur les systèmes des victimes. Des outils tels que PowerTool et GMER sont souvent utilisés pour arrêter les processus système. »
La CISA et le FBI ont mis en garde contre une augmentation des cas où les victimes reçoivent des communications téléphoniques ou par courrier électronique de la part des acteurs de BlackSuit concernant la compromission et la rançon, une tactique de plus en plus adoptée par les gangs de ransomware pour augmenter la pression.
« Ces dernières années, les acteurs malveillants semblent de plus en plus intéressés non seulement à menacer directement les organisations, mais également à menacer les victimes secondaires », a déclaré la société de cybersécurité Sophos. dit Dans un rapport publié cette semaine, « par exemple, comme cela a été rapporté en janvier 2024, des attaquants ont menacé d’« écraser » les patients d’un hôpital spécialisé dans le cancer et ont envoyé des SMS menaçants à l’épouse d’un PDG. »
Ce n’est pas tout. Les acteurs malveillants ont également affirmé avoir évalué les données volées à la recherche de preuves d’activités illégales, de non-conformité réglementaire et d’écarts financiers, allant même jusqu’à déclarer qu’un employé d’une organisation compromise avait recherché du matériel d’abus sexuel sur enfant en publiant l’historique de son navigateur Web.
De telles méthodes agressives peuvent non seulement être utilisées comme moyen de pression supplémentaire pour contraindre leurs cibles à payer, mais elles peuvent également nuire à leur réputation en les critiquant comme étant contraires à l’éthique ou négligentes.
Ce développement intervient dans un contexte d’émergence de nouvelles familles de ransomwares comme Lynx, Espion océanique, Radar, Zilla (une variante du ransomware Crysis/Dharma), et Zola (une variante du ransomware Proton) dans la nature, même si les groupes de ransomware existants font constamment évoluer leur modus operandi en incorporant de nouveaux outils dans leur arsenal.
Un exemple de cas est celui de Hunters International, qui a été observé en utilisant un nouveau malware basé sur C# appelé SharpRhino comme vecteur d’infection initial et un cheval de Troie d’accès à distance (RAT). ThunderShell Famille de logiciels malveillants, elle est diffusée via un domaine de typosquatting se faisant passer pour l’outil d’administration réseau populaire Angry IP Scanner.
Il convient de souligner que des campagnes de malvertising ont été repéré en livrant le malware aussi récemment qu’en janvier 2024, selon eSentire. Le RAT open source est également appelé Colis RAT et JAMBON FUMÉ.
« Lors de son exécution, il établit une persistance et fournit à l’attaquant un accès à distance à l’appareil, qui est ensuite utilisé pour faire progresser l’attaque », explique Michael Forret, chercheur chez Quorum Cyber. dit« En utilisant des techniques inédites, le logiciel malveillant est capable d’obtenir un niveau élevé d’autorisation sur l’appareil afin de garantir que l’attaquant est en mesure de poursuivre son ciblage avec un minimum de perturbations. »
Hunters International est considéré comme une nouvelle entité du groupe de ransomware Hive, aujourd’hui disparu. Détecté pour la première fois en octobre 2023, il a revendiqué la responsabilité de 134 attaques au cours des sept premiers mois de 2024.