Blackcat : le nouveau rançongiciel qui s’imposent
Depuis un certain moment, un programme informatique attire l’attention des professionnels de la cybersécurité.
Il s’agit notamment du rançongiciel Blackcat.
Ce nouveau programme de rançon fait automatiquement penser au groupe Blackmatter et REvil qui ont récemment tirer leur révérence (probablement) à cause de la pression mis par les autorités et les forces de l’ordre américaine.
Cet article va aussi vous intéresser : Rançongiciels : pourquoi les forces de l’ordre ont toujours du mal à mesurer l’ampleur du phénomène
En tant que rançongiciels, le mode opératoire est un classique. En effet les opérateurs de Blackcat infectent les systèmes et réseaux informatiques de leur cible, ensuite ils chiffrent les données pour exiger le paiement d’une rançon. Dans la mesure où l’organisation attaquée refuse de céder au chantage, les pirates informatiques menacent de publier les données.
Selon plusieurs observations, les cybercriminels qui sont derrière Blackcat sont en mouvement depuis bien longtemps. S’en prenant à plusieurs organisations dans différents pays.
« Les cybergangs derrière les ransomwares BlackMatter et REvil ont été mis à terre par des actions de police et de justice coordonnées au niveau international. Cela ne signifie pas pour autant que les opérations criminelles œuvrant par le biais de rançongiciels vont stopper. Car malheureusement, d’autres ransomwares pris en main par d’autres opérateurs malveillants prennent la relève, la nature ayant comme toujours horreur du vide. Pour le combler, BlackCat semble en effet bien placé pour prendre la relève. Très bien même, au point de pouvoir être considéré comme le ransomware le plus sophistiqué de l’année doté de capacités de personnalisation étendues. J’ai analysé un autre échantillon il n’y a pas si longtemps, mais je n’ai pas pu en parler en raison de la confidentialité du client… il utilise AES128-CTR et RSA-2048, Filemarker 19 47 B7 4D à EOF, une clé cryptée, JSON avec certains paramètres. Ransomware très sophistiqué », a alerté Michael Gillespie, un consultant en cybersécurité qui le concepteur à l’origine du service ID Ransomware.
Selon le spécialiste en question, le programme malveillant Blackcat a été écrit dans un langage de programmation peu utilisé pour la conception de logiciels malveillants. Il s’agit de langage Rust. Cependant depuis un certain moment, l’utilisation de ce langage de programmation est en pleine montée. Car selon les spécialistes il est assez fiable et procure beaucoup plus de sécurité. « Rust est un langage multiparadigmes dont un des objectifs principaux est de concilier une ergonomie de haut-niveau avec une gestion fine de la mémoire », précise l’Agence nationale de sécurité des systèmes d’information dans un guide qu’il a publié sur les applications sécurisées conçu grâce au langage Rust
On m’estime déjà que le montant des rançons extorquer par Blackcat peut s’évaluer hauteur de 3 millions de dollars.
La première fois que ce programme malveillant a été détecté, c’était dans les environs de novembre 2021 précisément le 21. Ce sont des chercheurs en cybersécurité de l’organisation MalwareHunterTeam qu’ils ont détecté. Les rançons qui sont exigées vont entre 400000 dollars américains à 3 million de dollars. C’est un programme qui est proposé sur plusieurs forum de pirate informatique dans le contexte du Ransomware as a service. C’est-à-dire, proposé son logiciel malveillant à d’autres opérateurs Informatiques malveillants avec un suivi pour permettre au client de pouvoir l’exploiter dans des actions de cybercriminalité en échange d’une rémunération.
Le rançongiciel BlackCat peut être configuré selon 4 types de chiffrement différents qui sont :
– le chiffrement total ;
– le chiffrement rapide ;
– DotPattern ;
– le chiffre automatique.
« En mode automatique, le logiciel détecte la présence du support matériel AES (existe dans tous les processeurs modernes) et l’utilise. S’il n’y a pas de support AES, le logiciel crypte les fichiers ChaCha20 », exploiter les opérateurs malveillants de Black cat sur un forum du Dark Web. « Chaque exécutable du ransomware ALPHV comprend une configuration JSON qui permet la personnalisation des extensions, les notes de rançon, la façon dont les données seront cryptées, les dossiers/fichiers/extensions exclus et les services et processus à terminer automatiquement », souligne le Bleeping Computer dans ses investigations.
De plus le programme malveillant dispose d’un programme de protection qui permet aussi des criminels de ne pas être tracé lors des transactions avec leurs victimes. Pour cela ils ont développé une commande par Token. « Ce jeton d’accès est utilisé pour créer la clé d’accès nécessaire pour entrer dans un chat de négociation sur le site de paiement Tor du gang de ransomware. Comme ce jeton n’est pas inclus dans l’échantillon de malware, même s’il est téléchargé sur un site d’analyse de malware, les chercheurs ne l’utiliseront pas pour accéder à un site de négociation sans la demande de rançon de l’attaque réelle », décrit Bleeping Computer.
Accédez maintenant à un nombre illimité de mot de passe :