Image: Eduardo Mallmann
Le Federal Bureau of Investigation (FBI) affirme que le gang de rançongiciels Black Cat, également connu sous le nom d’ALPHV, a piraté les réseaux d’au moins 60 organisations dans le monde entre novembre 2021 et mars 2022.
La Cyber Division du FBI l’a révélé dans une alerte flash TLP:WHITE publiée mercredi en coordination avec la Cybersecurity and Infrastructure Security Agency (DHS/CISA).
L’alerte flash fait partie d’une série de rapports similaires mettant en évidence les tactiques, techniques et procédures (TTP) utilisées par et les indicateurs de compromission (IOC) liés aux variantes de ransomware identifiées lors des enquêtes du FBI.
Depuis le début de l’année, le FBI a émis d’autres alertes soulignant comment les gangs de rançongiciels, dont BlackByte, Ragnar Locker et Avoslocker, ciblent et ont déjà violé des dizaines d’organisations américaines d’infrastructures critiques.
BlackCat/ALPHV « est le premier groupe de rançongiciels à le faire avec succès en utilisant RUST, considéré comme un langage de programmation plus sécurisé qui offre des performances améliorées et un traitement simultané fiable », a déclaré le FBI.
L’exécutable du ransomware de BlackCat est également hautement personnalisable et prend en charge plusieurs méthodes et options de cryptage qui facilitent l’adaptation des attaques à un large éventail d’environnements d’entreprise.
Le rançongiciel BlackCat, une nouvelle image de marque de BlackMatter
« De nombreux développeurs et blanchisseurs d’argent pour BlackCat/ALPHV sont liés à Darkside/Blackmatter, ce qui indique qu’ils disposent de réseaux étendus et d’une expérience des opérations de ransomware », a également ajouté le FBI.
L’opération DarkSide RaaS a été lancée en août 2020 et a été arrêtée en mai 2021 après les efforts des forces de l’ordre pour éliminer le gang à la suite de l’attaque largement médiatisée contre Colonial Pipeline.
Alors qu’ils ont été rebaptisés BlackMatter le 31 juillet, ils ont rapidement été contraints de fermer à nouveau en novembre 2021, après qu’Emsisoft ait trouvé et exploité une faiblesse dans le ransomware pour créer un décrypteur, et que les serveurs du gang aient été saisis.
Un représentant du gang du ransomware LockBit a été le premier à exposer le lien BlackCat / BlackMatter un mois après le lancement du ransomware BlackCat en novembre 2021.
Le gang BlackCat a également établi une connexion dans un entretien avec The Record publié plusieurs mois plus tard, en février 2022, mais n’a pas confirmé le changement de nom réel de BlackMatter.
Alors que BlackCat affirme n’être qu’un affilié de DarkSide/BlackMatter qui a lancé sa propre opération Ransomware-as-a-Service (RaaS), certains chercheurs en sécurité ne l’achètent pas, surtout après avoir trouvé des similitudes dans les fonctionnalités et les fichiers de configuration.
Les victimes priées de signaler les attaques et de ne pas payer de rançons
Dans l’alerte flash du mercredi, le FBI a également demandé aux administrateurs qui détectent l’activité de BlackCat de partager toute information connexe avec leur FBI Cyber Squad local.
Les informations utiles qui aideraient à retrouver et à identifier les acteurs de la menace derrière ce groupe de rançongiciels incluent « les journaux IP montrant les rappels d’adresses IP étrangères, les adresses Bitcoin ou Monero et les identifiants de transaction, les communications avec les acteurs de la menace, le fichier de décryptage et/ou un échantillon d’un fichier crypté. »
Le FBI a déclaré qu’il n’encourageait pas le paiement de rançons BlackCat, car les victimes n’ont aucune garantie que cela empêchera de futures attaques ou fuites de données volées.
Cependant, l’agence fédérale a reconnu les dommages causés par les attaques de rançongiciels, qui peuvent obliger les dirigeants de l’entreprise à payer la rançon et à protéger les actionnaires, les clients ou les employés.
Le FBI a également partagé des mesures d’atténuation pour aider les défenseurs du réseau à bloquer de telles attaques et a vivement exhorté toutes les victimes de BlackCat à signaler de tels incidents à leur bureau local du FBI.