Microsoft avertit que l’équipe du rançongiciel BlackCat exploite des exploits pour les vulnérabilités non corrigées du serveur Exchange afin d’accéder aux réseaux ciblés.
Après avoir obtenu un point d’entrée, les attaquants se sont rapidement déplacés pour recueillir des informations sur les machines compromises, puis ont effectué des activités de vol d’informations d’identification et de déplacement latéral, avant de récolter la propriété intellectuelle et de supprimer la charge utile du ransomware.
La séquence complète des événements s’est déroulée au cours de deux semaines complètes, l’équipe Microsoft 365 Defender Threat Intelligence a dit dans un rapport publié cette semaine.
« Dans un autre incident que nous avons observé, nous avons découvert qu’un affilié de ransomware avait obtenu un accès initial à l’environnement via un serveur de bureau à distance accessible sur Internet en utilisant des informations d’identification compromises pour se connecter », ont déclaré les chercheurs, soulignant comment « aucun BlackCat » ne vit « ou les déploiements peuvent se ressembler. »
BlackCat, également connu sous les noms ALPHV et Noberus, est un entrant relativement nouveau dans l’espace des rançongiciels hyperactifs. Il est également connu pour être l’un des premiers ransomwares multiplateformes écrits en Rust, illustrant une tendance où les acteurs de la menace se tournent vers des langages de programmation peu courants pour tenter d’échapper à la détection.
Le système de rançongiciel en tant que service (RaaS), quels que soient les différents vecteurs d’accès initiaux utilisés, aboutit à l’exfiltration et au chiffrement des données cibles qui sont ensuite détenues en rançon dans le cadre de ce qu’on appelle la double extorsion.
Le modèle RaaS s’est avéré être un écosystème cybercriminel lucratif de type économie de concerts composé de trois acteurs clés différents : les courtiers d’accès (IAB), qui compromettent les réseaux et maintiennent la persistance ; les opérateurs, qui développent et maintiennent les opérations de ransomware ; et les affiliés, qui achètent l’accès aux IAB pour déployer la charge utile réelle.
Selon une alerte publiée par le Federal Bureau of Investigation (FBI) des États-Unis, les attaques de rançongiciels BlackCat ont fait au moins 60 victimes dans le monde en mars 2022 depuis qu’elles ont été repérées pour la première fois en novembre 2021.
En outre, Microsoft a déclaré que « deux des groupes de menaces affiliés les plus prolifiques », qui ont été associés à plusieurs familles de rançongiciels telles que Hive, Conti, REvil et LockBit 2.0, distribuent désormais BlackCat.
Cela inclut DEV-0237 (alias FIN12), un acteur menaçant à motivation financière qui a été vu pour la dernière fois ciblant le secteur de la santé en octobre 2021, et DEV-0504, qui est actif depuis 2020 et a tendance à déplacer les charges utiles lorsqu’un programme RaaS se ferme. vers le bas.
« DEV-0504 était responsable du déploiement du rançongiciel BlackCat dans les entreprises du secteur de l’énergie en janvier 2022 », Microsoft c’est noté le mois dernier. « À peu près au même moment, DEV-0504 a également déployé BlackCat dans des attaques contre des entreprises des secteurs de la mode, du tabac, de l’informatique et de la fabrication, entre autres. »