LAYHONG - stock.adobe.com

Ransomware : Cybereason met en garde contre une campagne Black Basta expéditive

Certains attaquants travaillant avec le ransomware en mode service Black Basta compromettent les réseaux en une heure à peine et volent des données sensibles avant de désactiver les services DNS.

Certains cyberdélinquants travaillant avec la franchise de rançongiciel en mode service Black Basta se montrent extrêmement rapides et emploient une nouvelle tactique qui rend bien plus difficile la réponse des entreprises à une attaque, selon une nouvelle recherche de Cybereason.

Dans la dernière campagne observée par l’équipe de services managés de Cybereason, les délinquants ont obtenu un accès aux privilèges administratifs en moins de deux heures et déployé le ransomware Black Basta en moins de 12 heures. Un billet de blog publié fin novembre détaille les tactiques et techniques, notamment l’utilisation du cheval de Troie bancaire QakBot pour obtenir l’accès initial et le ciblage des services du système de nom de domaine (DNS) pour isoler les entreprises.

Cybereason considère cette campagne comme une menace de haut niveau en raison de l’ampleur potentielle de l’activité. Surtout, selon l’éditeur, elle peut « rapidement entraîner de graves dommages à l’infrastructure informatique » des victimes. La campagne est active depuis au moins le 14 novembre et a, jusqu’ici, principalement touché des organisations basées aux États-Unis.

L’activité observée commence par des e-mails de phishing ciblé, suivis du déploiement de QakBot pour infecter un environnement et maintenir une présence sur les réseaux des victimes. Selon Cybereason, QakBot peut être utilisé pour voler des données financières, mais aussi et surtout des saisies au clavier et des informations d’identification.

« Une fois que Qakbot a réussi à infecter un environnement, le malware installe une porte dérobée, permettant à l’assaillant de déposer d’autres malwares, notamment des ransomwares. »
Équipe CyberreasonBillet de blog

Dans l’incident spécifique décrit dans le billet de blog, les chercheurs de Cybereason ont également observé l’attaquant utilisant Cobalt Strike pendant la compromission, pour obtenir un accès à distance au contrôleur de domaine : « une fois que Qakbot a réussi à infecter un environnement, le malware installe une porte dérobée, permettant à l’assaillant de déposer d’autres malwares, notamment des ransomwares ».

La capacité à compromettre les systèmes aussi rapidement est due à la coordination entre les courtiers en accès initiaux utilisant QakBot et l’opération de ransomware-as-a-service de Black Basta. Auparavant, Black Basta achetait des accès aux courtiers, puis les utilisait pour déployer des ransomwares. Pour Loïc Castel, analyste de la sécurité de la réponse aux incidents chez Cybereason, ces transactions peuvent créer un léger délai.

Mais la rapidité des attaques observées dans cette nouvelle campagne ne prive pas l’attaquant de temps pour rechercher et recueillir des données sensibles. Dans certains cas, Cybereason a observé l’utilisation d’autres portes dérobées telles que SystemBC déployées par l’assaillant et utilisées à des fins d’exfiltration.

« En examinant les données, nous avons vu que l’attaquant aurait pu lancer le ransomware encore plus tôt que quand il ne l’a fait. Il y avait un délai. Ils auraient pu le faire en une heure, mais ils ne l’ont pas fait », a déclaré Castel. « A-t-il utilisé ce temps pour faire quelque chose d’autre que nous ignorons ? » Une possibilité, dit-il, est que l’attaquant ait utilisé ce temps pour voler des données, ce qui est souvent utilisé dans les demandes de rançon.

Services DNS désactivés

Au cours des deux dernières semaines, Cybereason a observé plus de 10 clients touchés dans le cadre de la récente campagne, selon le billet de blog, principalement des organisations américaines.

Pour Loïc Castel, dans la plupart des cas, l’activité du ransomware a été détectée et empêchée. Il a toutefois averti que les machines mal configurées ou dépourvues de capteurs de détection des menaces seront touchées par cette campagne : « nous voyons clairement des acteurs qui cherchent spécifiquement à lancer des requêtes sur des machines, à rechercher celles qui ne sont pas équipées de produits de sécurité ».

Une nouvelle tactique qu’il a soulignée est la désactivation des services DNS par les attaquants pour isoler leur victime : la désactivation du DNS leur permet d’accéder à Active Directory. Surtout, avec les services DNS hors ligne, les administrateurs et le support informatique sont incapables d’atteindre le réseau, ce qui ralentit la réponse à incident et donne plus de temps aux assaillants.

« Cela pourrait être quelque chose que nous voyons plus souvent à l’avenir. J’en déduis que cela pourrait être un moyen pour les acteurs malveillants d’ajouter des arguments supplémentaires à la demande de rançon. Si vous me payez, je relancerai le service, par exemple », estime Loïc Castel. « Pour une équipe informatique expérimentée, ce ne serait pas un problème, mais pour les petites entreprises ou celles qui sont moins expérimentées, cela peut être efficace ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close