Le groupe BlackCat Ransomware, galement connu sous le nom d’AlphV, s’effondre brusquement aprs avoir reu un paiement de 22 millions de dollars de Change Healthcare, le plus grand processeur de paiement des soins de sant aux tats-Unis. Peu de temps aprs le paiement, un affili prtend avoir t escroqu par le groupe, affirmant qu’AlphV a pris l’argent et disparu sans tenir sa part de l’accord.
Des soupons surgissent alors quant la vritable nature de la disparition du groupe, aliments par des preuves suggrant qu’AlphV aurait pu orchestrer un faux dmantlement pour garder la totalit du paiement. Cette srie d’vnements met en lumire les pratiques opaques des groupes de ranongiciels, tout en soulignant les enjeux croissants lis aux attaques informatiques dans le secteur de la sant.
Deux jours aprs le paiement, une personne prtendant tre un affili d’AlphV a dclar sur un forum criminel en ligne que le paiement de prs de 22 millions de dollars tait li la violation de Change Healthcare. La partie a ajout que les membres d’AlphV avaient escroqu l’affili en le privant de la part du paiement convenue. La filiale a rpondu qu’elle n’avait pas supprim les donnes de Change Healthcare qu’elle avait obtenues.
Un message laiss sur un forum criminel par une personne prtendant tre un affili d’AlphV. Le message affirme qu’AlphV a escroqu l’affili de sa part.
Le modle RaaS et les tactiques sophistiques de BlackCat Ransomware
BlackCat Ransomware est un groupe de cybercriminels qui se spcialise dans les attaques de ranongiciel, un type de cyberattaque o les donnes de la victime sont chiffres et une ranon est exige en change de la cl de dchiffrement. Ce groupe opre selon un modle de ransomware en tant que service (RaaS), o le groupe principal fournit le logiciel et l’infrastructure ncessaires aux attaques, tandis que des affilis sont recruts pour mener les attaques contre des cibles spcifiques. Les bnfices sont ensuite partags entre le groupe principal et les affilis.
Le RaaS est un modle commercial entre les oprateurs de ransomware et les affilis dans lequel les affilis paient pour lancer des attaques de ransomware dveloppes par les oprateurs. Il s’agit d’une variante du modle commercial SaaS (Software as a Service). Les kits RaaS permettent aux affilis qui n’ont pas les comptences ou le temps ncessaires pour dvelopper leur propre variante de ranongiciels d’tre oprationnels rapidement et un prix abordable. Ils sont faciles trouver sur le dark web, o ils sont annoncs de la mme manire que les biens sont annoncs sur le web lgitime.
Un kit RaaS peut inclure une assistance 24/7, des offres groupes, des forums et d’autres fonctionnalits identiques celles offertes par les fournisseurs SaaS lgitimes. Le prix des kits RaaS varie de 40 dollars par mois plusieurs milliers de dollars ; des montants insignifiants, si l’on considre que la demande de ranon moyenne en 2021 s’levait 6 millions de dollars. Un acteur de la menace n’a pas besoin que chaque attaque russisse pour s’enrichir.
BlackCat/AlphV est rput pour ses attaques sophistiques utilisant un chiffrement capable de fonctionner sur des systmes Windows et Linux. Le groupe utilise des tactiques telles que le chiffrement des donnes, la menace de les rendre publiques et des attaques par dni de service distribu (DDoS) contre l’infrastructure de la victime pour exercer une pression en vue du paiement de la ranon.
La squence d’vnements suggre qu’aprs avoir reu les 22 millions de dollars, BlackCat/AlphV a choisi de se retirer, ou du moins de prendre une pause temporaire avant de potentiellement rapparatre sous une nouvelle identit, une pratique courante chez les groupes de ranongiciels lorsqu’ils sont sous pression des autorits. Au lieu de verser une part de cette somme l’affili, BlackCat/AlphV a opt pour garder l’intgralit du montant. De plus, au lieu d’tre transparent sur leur retrait, BlackCat/AlphV a diffus un faux avis de saisie pour donner l’impression qu’ils taient sous le coup d’une intervention des forces de l’ordre.
Si ces spculations se rvlent exactes, le point le plus saisissant de toute cette srie d’vnements serait sans doute la dclaration manant de l’affili sur un forum criminel. Cela suggre qu’une personne a dbours 22 millions de dollars en change de ses donnes avec la garantie qu’elles seraient effaces par des tiers. Sous le pseudonyme de Notchy , cette personne prtend tre en possession de 4 traoctets de donnes critiques de Change Healthcare. Le FBI a rvl que plusieurs membres de BlackCat/AlphV entretiennent des liens avec d’autres groupes de ranongiciels, notamment DarkSide. Ces collaborations peuvent inclure le partage de techniques, d’outils et de ressources pour mener des attaques plus efficaces.
Dclaration du FBI et recommandations
En mars 2022, le ransomware BlackCat/ALPHV as a service (RaaS) avait compromis au moins 60 entits dans le monde entier et est le premier groupe de ranongiciel le faire avec succs en utilisant RUST, considr comme un langage de programmation plus sr qui offre des performances amliores et un traitement simultan fiable. Les acteurs de la menace affilis BlackCat demandent gnralement des ranons de plusieurs millions de dollars en bitcoin et en monero, mais ont accept des ranons infrieures au montant de la demande initiale. Un grand nombre des dveloppeurs et des blanchisseurs d’argent de BlackCat/ALPHV sont lis Darkside/Blackmatter, ce qui indique qu’ils disposent de vastes rseaux et d’une grande exprience dans le domaine des ransomwares.
Le ransomware BlackCat/ALPHV exploite les informations d’identification d’utilisateurs prcdemment compromis pour obtenir un accs initial au systme de la victime. Une fois l’accs tabli, il compromet les comptes utilisateurs et administrateurs d’Active Directory. Il utilise le planificateur de tches de Windows pour configurer des objets de stratgie de groupe (GPO) malveillants afin de dployer le ranongiciel. Le dploiement initial du logiciel malveillant s’appuie sur des scripts PowerShell, en conjonction avec Cobalt Strike, et dsactive les fonctions de scurit au sein du rseau de la victime.
Le ransomware BlackCat/ALPHV exploite galement les outils d’administration de Windows et les outils Microsoft Sysinternals pendant la compromission. BlackCat/ALPHV vole les donnes de la victime avant l’excution du ranongiciels, y compris auprs des fournisseurs des services bass sur le cloud o les donnes de l’entreprise ou du client ont t stockes. Les acteurs utilisent des scripts Windows pour dployer le ranongiciel et compromettre d’autres htes. Par exemple, les scripts batch et PowerShell suivants ont t observs :
- start.bat – lance l’excutable du ransomware avec les arguments requis ;
- est.bat – copie le ranongiciel d’autres endroits ;
- drag-and-drop-target.bat – lance l’excutable du ranongiciel pour le serveur MySQL ;
- run.bat – excute une commande d’appel vers un serveur externe l’aide de SSH – les noms de fichiers peuvent changer en fonction de l’entreprise et des systmes concerns ;
- Runs1.ps1 – Script PowerShell pour dsactiver McAfee.
Le FBI recherche toutes les informations qui peuvent tre partages, notamment les journaux IP montrant les rappels d’adresses IP trangres, les adresses Bitcoin ou Monero et les identifiants de transaction, les communications avec les acteurs de la menace, le fichier de dchiffrement et/ou un chantillon bnin d’un fichier chiffr.
Mesures d’attnuation recommandes par le FBI
Le FBI n’encourage pas le paiement de ranons. Le paiement ne garantit pas la rcupration des fichiers. Il peut galement inciter les adversaires cibler d’autres organisations, encourager d’autres acteurs criminels s’engager dans la distribution de ranongiciels et/ou financer des activits illicites. Cependant, le FBI comprend que lorsque les victimes sont confrontes une incapacit fonctionner, toutes les options sont values afin de protger les actionnaires, les employs et les clients.
Que vous ou votre organisation ayez dcid de payer la ranon, le FBI recommande de signaler rapidement les incidents lis aux ranongiciels votre bureau local du FBI. Ce faisant, le FBI dispose d’informations essentielles pour prvenir de futures attaques en identifiant et en traquant les auteurs de ranongiciels et en les tenant pour responsable en vertu de la loi amricaine.
Examinez les contrleurs de domaine, les serveurs, les postes de travail et les annuaires actifs pour dtecter les comptes d’utilisateurs nouveaux ou non reconnus. Sauvegarder rgulirement les donnes, les arer et protger par mot de passe les copies de sauvegarde hors ligne. S’assurer que les copies des donnes critiques ne sont pas accessibles pour modification ou suppression partir du systme o rsident les donnes.
Examiner le planificateur de tches la recherche de tches programmes non reconnues. En outre, examiner manuellement les tches programmes dfinies ou reconnues par le systme d’exploitation pour y dceler des actions non reconnues (par exemple : examiner les tapes que chaque tche programme est cense effectuer).
Mettre en uvre la segmentation du rseau, exiger des informations d’identification de l’administrateur pour installer un logiciel, mettre en uvre un plan de rcupration pour maintenir et conserver plusieurs copies des donnes et serveurs sensibles ou propritaires dans un endroit physiquement spar, segment et scuris (par exemple, disque dur, dispositif de stockage, cloud).
Examinez les journaux des antivirus et utilisez l’authentification multifactorielle dans la mesure du possible, modifier rgulirement les mots de passe des systmes et des comptes du rseau et viter de rutiliser les mots de passe pour diffrents comptes. Mettre en uvre le dlai le plus court possible pour les changements de mots de passe. Dsactiver les ports d’accs distance/de protocole de bureau distance (RDP) inutiliss et surveiller les journaux d’accs distance/de RDP.
Il est proccupant de constater que des groupes de ranongiciels tels que BlackCat/AlphV continuent de cibler des institutions aussi cruciales que les fournisseurs de services de sant, mettant ainsi en danger la scurit des donnes sensibles des patients et la continuit des soins. Le groupe a t impliqu dans des attaques contre des organisations majeures de ce domaine, telles que Change Healthcare, le plus grand processeur de paiement des soins de sant aux tats-Unis. Le fait que le groupe ait apparemment dtourn un paiement aussi massif soulve des questions srieuses sur l’efficacit des mesures de lutte contre les ranongiciels et l’impunit avec laquelle ces groupes oprent. Ces vnements soulignent galement la ncessit pour les organisations de sant de renforcer leurs dfenses contre de telles menaces et de mettre en place des stratgies de prvention et de rponse adquates.
Source : Federal Bureau of Investigation
Et vous ?
Quel est votre avis sur le sujet ?
Quelles mesures concrtes peuvent tre prises pour renforcer la scurit des systmes informatiques afin de prvenir de telles attaques l’avenir ?
Quelle est votre position sur la pratique consistant payer des ranons aux cybercriminels en cas d’attaque de ranongiciel ?
Voir aussi :